安全不了的 Android,想不明白的 Google

安全不了的 Android,想不明白的 Google
2018年05月14日 10:42 虎嗅APP

虎嗅注:在 Android 的安全问题上,Google 可长点心吧!本文来自微信公众号“Pingwest 品玩”(ID:wepingwest),作者:宋图样。虎嗅获得授权转载。

二十六个字母都数到 P 了,然而 Android 生态的安全问题依然令人堪忧。而最近,安全问题更是集中爆发。

在今年的 Google I/O 大会上,Android 平台安全负责人 David Kleidermacher 在推销 Project Treble 时透露,Google 将把安全补丁更新纳入 OEM 协议当中,以此让更多的设备、更多的用户获得定期的安全补丁。

这是一个积极的行为,但细究下其实并不值得表扬,因为之所以提出这一方案,全因之前被人揭了短。就在今年四月,Security 安全研究实验室在测试了 1200 台不同品牌、不同渠道的手机后表示,安全补丁的安装状况并不尽人意,有些厂商甚至至少漏掉了 4 个月的安全补丁。

而就在这份报告发布前一个月,Kleidermacher 在接受 CNET 的采访中刚说完“Android现在和竞争对手一样安全”。

友军

用过 Google Pixel 的人都会注意到,Google 每个在月都有一次安全推送的,而且不管你是否想要更新,但其实这个安全补丁 Google 并不仅仅推送给自家手机。

对于安全问题,Google 现在会在每个月的第一个周一发布一份安全补丁公告,公告中会列出已知漏洞的补丁。而同样是这份补丁,各大厂商一般会提前一个月收到,目的是让 OEM 和供应商,比如芯片厂,能够在公告之前好修补漏洞。

这个设想是好的,并且如果友军认真执行的话效果也不错,比如 Essential 手机,虽然销量不好,但是它可以与 Google Pixel 同一天推送安全更新。

然而前面提到了,其他厂商并不都这么干的,具体各家差多少直接看图吧:

Security 还指出,这一结果的背后芯片供应商有很大责任,因为采用联发科芯片的手机在获得安全更新方面更显糟糕:

这里更新和芯片供应商的关系不是绝对的,比如 PingWest 品玩(微信号:wepingwest)这就有一台高通骁龙 835 的手机,目前 Android 安全更新还停留在 2017 年 12 月 1 日。

在这一现象被揭露之后,Google 迅速就做出了回应,承认了这项研究的重要性,并表示将会进行核实。而最终的结果,就是这次 Google I/O 上宣布的事情了。并且 Google 这两年一直在推行的 Project Treble 正好能够用上,利用这一机制,厂商制作安全补丁更容易,成本更低。

一边用政策来约束厂商,另一边又拉低用户抵触心理,可以说是个非常棒的套路。但估计 Kleidermacher 怎么也想不到,在扶友军的同时,自家阵脚乱了。

自家

据老牌安全软件赛门铁克研究发现,有一些曾经被发现过的恶意应用重登 Google Play 了,而且使用的方法非常简单:改名。

这次发现的恶意应用程序有 7 个,它们早在去年就被汇报给 Google 并下架过了,但现在,它们通过更改包名称重新以表情符号键盘、空间清理、计算器等类型登录 Google Play。

这里简单介绍下这些恶意应用的表现,大家注意下:

相对来说,这一次恶意软件的行为其实并不重要,更危险的是这次登录 Google Play 的形式,Google Play 安全流程中的问题。

首先,Google Play 的审核机制可以说是漏洞百出。在应用上架 Google Play 前的过程中,安全测试成了摆设,自动检测算法根本没起作用,人工审核就像个宣传称号。据赛门铁克表示,这些应用根本不能提供正常功能,所以人工审核了什么?

其次,在上架及用户安装后 Google 宣传的防护也没起作用。基于机器学习技术识别流氓软件的 Google Play Protect,据称每天会扫描数十亿应用,一样被绕过了。

最让人无法接受的是,这些体系还是被绕过两次,而第二次仅仅是通过改名就饶过了。这难免不让人联想到 Google Play 的安全流程中是不是没有“总结经验”这一行为,所谓的机器学习是不是学和做分开了。

而相对系统漏洞来说,恶意应用要让用户更加不适一些。毕竟大多数人的设备被蓄意利用漏洞攻击的可能性近乎为 0,但是装错个应用就直接中招了。

应用

提到安全问题,很多人自然而然地就会联想到流氓应用,然后就会想到“全家桶”,进而就会想到 Google 这几年更新了几个管理措施,更进一步还会想到为什么还压制不住这些应用的泛滥。

其实,这事还得怨 Google,因为 Google 一直没想明白问题的重点。

以 Android 8.0 为例,Google 虽然推出了一个后台控制特性,但是这个特性如果想完全正常使用有一个前提条件,应用程序的封包 SDK 要达到 API 26(一个不面向用户的开发设定,和 Android 版本同步更新,目前正式版最高 API 27,Android P 是 API 28)。直白点说,就是应用是针对 Android 8.0 开发的。如果应用没这么做,那么结果就是新特性最多只能发挥一小部分作用,但并不会影响 App 的正常使用和滥用。

所以,控制权在应用开发者手里。如果他们认为 Android 新机制非常棒,应该遵守,那就上新的 API。而如果产品部、推送服务商觉得组成全家桶卖相好,那么就保持原样。

PingWest 品玩(微信号:wepingwest)测试了几个 Google Play 中的应用后发现,其中最低的居然可以低到 API 18,甚至 Google 自家的某些应用也还停留在 API 24。而在 Google Play 之外,腾讯新推出的 TIM,现在还在用 Android 4.0.3 时期的 API 15 玩得不亦乐乎。

可见,在这种近乎君子协议的前提下,想指望厂商跟上脚步、自我约束,这在短期内无异于痴人说梦。

至于这种情况什么时候能更进一步的改善,还要看 Google 什么时候能想明白强权的重要性。

Google补丁Android
新浪科技公众号
新浪科技公众号

“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)

创事记

科学探索

苹果汇

众测

来电聊

专题

官方微博

新浪科技 新浪数码 新浪手机 科学探索 苹果汇 新浪众测

公众号

新浪科技

新浪科技为你带来最新鲜的科技资讯

苹果汇

苹果汇为你带来最新鲜的苹果产品新闻

新浪众测

新酷产品第一时间免费试玩

新浪探索

提供最新的科学家新闻,精彩的震撼图片