安全不了的 Android，想不明白的 Google

摘要：在 Android 的安全問題上，Google 可長(ch玩吧áng)點心吧！

二十六個字母都(dōu)數到 木章P 了，然而 Android 生态的安全問題依然令輛書人堪憂。而最近，安全問題更是集中爆發(門金fā)。

在今年的 Google I/O 大會(huì)上明店，Android 平台安全負責人 David K放裡leidermacher 在推銷 Project Treb河麗le 時(shí)透露，Google 將(jiān著個g)把安全補丁更新納入 OEM 協議當中場錯，以此讓更多的設備、更多的用戶獲得定期的安全補丁。

這(zhè)是一個積極的行為，但細究下其實并不值得表揚喝那，因為之所以提出這(zhè)一方案，全因之前被(bèi)人揭了短。就(jiù)電動在今年四月，Security 安全研究實驗室在測試了 1200 台不同品牌、機家不同渠道(dào)的手機後(hòu)表示，安全補丁的安裝狀況并不盡人意，鄉子有些廠商甚至至少漏掉了 4 個月的安全補丁。

而就(jiù)在這(zhè)份報告發(fā)布前一道習個月，Kleidermacher拿動 在接受 CNET 的采訪中剛說(shuō)完“Android現在和競争對(生行duì)手一樣(yàng)安全”。

友軍

用過(guò) Google Pixel 的人都(dōu)會(h東黃uì)注意到，Google 每個在月都(dōu)有一次安友問全推送的，而且不管你是否想要更新，但其實這(銀們zhè)個安全補丁 Google 并不僅僅推送給自家手機。

對(duì)于安全問題，Google 現在會(huì)在每個月的第一個女鐘周一發(fā)布一份安全補丁公告，公告中會(huì)列出已知漏少秒洞的補丁。而同樣(yàng)是這(zhè)份補丁，各大廠商信會一般會(huì)提前一個月收到，目的是讓 OEM 和供應商，比如芯片廠，能(師媽néng)夠在公告之前好(hǎo)修議嗎補漏洞。

這(zhè)個設想是好(hǎo)的，并且如果友軍認真執行的話效果也湖又不錯，比如 Essential 手機，雖然銷量不好(hǎo)，但是它可以與 G術數oogle Pixel 同一天推送安全更新。

然而前面(miàn)提到了，其他廠商并不都(dōu)這(zhè)通坐麼(me)幹的，具體各家差多少直接看上離圖吧：

Security 還(hái)指出，這(zhè)一結果的背遠木後(hòu)芯片供應商有很大責任，因為采用聯發(fā)科芯片的手機藍頻在獲得安全更新方面(miàn)更顯糟糕人用：

這(zhè)裡(lǐ)更新和芯片供應商的關系不是校呢絕對(duì)的，比如 PingWest 品玩（微錢信信号：wepingwest）這(zhè)就(jiù)有一台高通骁理子龍 835 的手機，目前 Android 安慢理全更新還(hái)停留在 20林民17 年 12 月 1 日。

在這(zhè)一現象被(bèi)樹生揭露之後(hòu)，Google 迅速就(jiù時信)做出了回應，承認了這(zhè)項研究的重要性，并表示將(外什jiāng)會(huì)進(jìn)行核實制森。而最終的結果，就(jiù)是這(zhè)次 Googl又就e I/O 上宣布的事(shì)情了。并且 快國Google 這(zhè)兩(liǎng)年一直在推行的 也動Project Treble 正好(hǎo)能(néng)夠用上，利用這(zh微有è)一機制，廠商制作安全補丁更容易，成(ch冷師éng)本更低。

一邊用政策來約束廠商，另一邊又拉低用戶抵觸心理，可以說(shuō)是個非常作章棒的套路。但估計 Kleidermacher 怎麼(me)也想不到，在扶友軍務員的同時(shí)，自家陣腳亂了。

自家

據老牌安全軟件賽門鐵克研究發(f黑報ā)現，有一些曾經(jīng)被(bèi來鄉)發(fā)現過(guò)的惡厭業意應用重登 Google Play 了，而且使制村用的方法非常簡單：改名。

這(zhè)次發(fā)現的惡意應用程序不為有 7 個，它們早在去年就(jiù)被(bèi)彙報給 Google 并下架過師街(guò)了，但現在，它們通過(章玩guò)更改包名稱重新以表情符号鍵個費盤、空間清理、計算器等類型登錄 Google少師 Play。

這(zhè)裡(lǐ)簡單介紹下這訊頻(zhè)些惡意應用的表現，大家注意下：

安裝後(hòu)會(huì)進(jìn)入幾小時(shí)靜默期，以玩弟此避免被(bèi)注意頂著(zhe) Google Play 圖标來什媽索要管理員權限把自己的圖标改成(chéng) Google P草用lay、Google 地圖這(zhè)些常見應用通過(guò)提供内容來獲利，兵媽比如重定向(xiàng)網站，并且這(zhè)個形式近件是雲端可控的。

相對(duì)來說(shuō)，這(zhè)一次惡意軟件的行為其實并不白弟重要，更危險的是這(zhè)次登錄 Google 體哥Play 的形式，Google Play 安全流程中的問題。

首先，Google Play 的審核機制可以說(shuō)是漏校山洞百出。在應用上架 Google Play 房匠前的過(guò)程中，安全測試成(chéng)了擺設，自動檢測算法根本沒(m著訊éi)起(qǐ)作用，人工審核就(jiù)像個宣傳稱号。據些的賽門鐵克表示，這(zhè)些應用根本不能(néng)提供正常功能(néng)遠呢，所以人工審核了什麼(me)？

其次，在上架及用戶安裝後(hòu) Google 宣傳的防護也沒(mé自影i)起(qǐ)作用。基于機器學(xué)習技術識别流氓軟件的 Google 她音Play Protect，據稱每天會(hu時姐ì)掃描數十億應用，一樣(yàng)被(bèi)繞過(guò)了說如。

最讓人無法接受的是，這(zhè)些體系還(h做器ái)是被(bèi)繞過(guò)兩(liǎng)次，而第二次僅僅是通過(gu那物ò)改名就(jiù)饒過(guò)了。這(zhè)難免不讓報我人聯想到 Google Play 的安全流程中是不是沒(méi)有“總討信結經(jīng)驗”這(zhè)一行為，所謂的機器學(xué)習是不是學(風車xué)和做分開(kāi)了。

而相對(duì)系統漏洞來說(shuō)，惡意應用要讓用戶更加不适一化草些。畢竟大多數人的設備被(bèi)蓄意利用漏洞上紙攻擊的可能(néng)性近乎為 0，但是裝錯個應用信對就(jiù)直接中招了。

應用

提到安全問題，很多人自然而然地就(jiù)會(huì)聯想到流氓應用，然後(鐘近hòu)就(jiù)會(huì)想書慢到“全家桶”，進(jìn)而就(jiù)會(huì)想到 Google 這(弟藍zhè)幾年更新了幾個管理措施，更進(jìn)一步還(hái)會(但年huì)想到為什麼(me)還(hái)壓制不住這(zhè)些應用的泛濫。到可

其實，這(zhè)事(shì)還(hái)得怨 Googl笑放e，因為 Google 一直沒(méi)想明白問題的重點。

以 Android 8.0 為例，Google 睡討雖然推出了一個後(hòu)台控制特得坐性，但是這(zhè)個特性如果想完全正常使用有在花一個前提條件，應用程序的封包 SDK 要達冷為到 API 26（一個不面(miàn子花)向(xiàng)用戶的開(kāi)發(fā)設定，和 An場來droid 版本同步更新，目前正式版最高 API 27，Andr草靜oid P 是 API 28）。直白點說(shuō)，就(jiù)是應用是針船是對(duì) Android 8.0 開(kāi)發(電我fā)的。如果應用沒(méi)這(器公zhè)麼(me)做，那麼(me)結果就(jiù)是西市新特性最多隻能(néng)發(f在笑ā)揮一小部分作用，但并不會(huì)影響 App 的正常使用窗還和濫用。

所以，控制權在應用開(kāi)發(fā)者手裡(lǐ)。如果他們認為 Andr農務oid 新機制非常棒，應該遵守，那就(jiù)上新的 API自那。而如果産品部、推送服務商覺得組成(chéng)全家桶賣相好(hǎo票業)，那麼(me)就(jiù)保持原樣(yà件報ng)。

PingWest 品玩（微信号：wepingwest）測試了幾個 Goo業頻gle Play 中的應用後(hòu)發(fā)廠來現，其中最低的居然可以低到 A還為PI 18，甚至 Google 自家的某些應用也還(hái)停城購留在 API 24。而在 Google Pla刀月y 之外，騰訊新推出的 TIM，現在還(hái)在用 Android 4.0妹北.3 時(shí)期的 API讀快 15 玩得不亦樂乎。

可見，在這(zhè)種(zhǒng)近湖她乎君子協議的前提下，想指望廠商跟上腳步、自我約作有束，這(zhè)在短期内無異于癡人說(shuō)夢。

至于這(zhè)種(zhǒng)情況什麼(me)時(shí)候能(néng)行友更進(jìn)一步的改善，還(hái)要看 Googl喝拿e 什麼(me)時(shí)候能(néng)想明白強權的重要性。