安全不了的 Android，想不明白的 Google

　　在今年的 Google I/O 大會上，Android 平臺安全負責人 David Kleidermacher 在推銷 Project Treble 時透露，Google 將把安全補丁更新納入 OEM 協(xié)議當中，以此讓更多的設備，更多的用戶獲得定期的安全補丁。

　　這是一個積極的行為，但細究下就并不值得表揚了，因為之所以提出這一方案全因之前被人揭了短。

　　就在今年四月，Security 安全研究實驗室在測試了 1200 臺不同品牌、不同渠道的手機后表示，安全補丁的安裝狀況并不盡人意，有些廠商甚至至少漏掉了 4 個月的安全補丁。

　　而就在這份報告發(fā)布前一個月，Kleidermacher 在接受 CNET 的采訪中剛說完“Android現(xiàn)在和競爭對手一樣安全”。

　　友軍

　　用過 Google Pixel 的人都會注意到，Google 每個在月都有一次安全推送的，而且不管你是否想要更新，但其實這個安全補丁 Google 并不僅僅推送給自家手機。

　　對于安全問題，Google 現(xiàn)在會在每個月的第一個周一發(fā)布一份安全補丁公告，公告中會列出已知漏洞的補丁。而同樣是這份補丁，各大廠商一般會提前一個月收到，目的是讓 OEM 和供應商——比如芯片廠——能夠在公告之前好修補漏洞。

　　這個設想是好的，并且如果友軍認真執(zhí)行的話效果也不錯，比如 Essential 手機，雖然銷量不好，但是它可以與 Google Pixel 同一天推送安全更新。

　　然而前面提到了，其他廠商并不都這么干的，具體各家差多少直接看圖吧：

　　Security 還指出，這一結果的背后芯片供應商有很大責任，因為采用聯(lián)發(fā)科芯片的手機在獲得安全更新方面更顯糟糕：

　　這里更新和芯片供應商的關系不是絕對的，比如 PingWest 品玩這就有一臺高通驍龍 835 的手機，目前 Android 安全更新還停留在 2017 年 12 月 1 日。

　　在這一現(xiàn)象被揭露之后，Google 迅速就做出了回應，承認了這項研究的重要性，并表示將會進行核實。而最終的結果，就是這次 Google I/O 上宣布的事情了。并且 Google 這兩年一直在推行的 Project Treble 正好能夠用上，利用這一機制，廠商制作安全補丁更容易，成本更低。

　　一邊用政策來約束廠商，另一邊又許拉低抵觸心理，可以說是個非常棒的套路。但估計 Kleidermacher 怎么也想不到，在扶友軍的同時，自家陣腳亂了。

　　自家

　　據(jù)老牌安全軟件賽門鐵克研究發(fā)現(xiàn)，有一些曾經被發(fā)現(xiàn)過的惡意應用重登 Google Play 了，而且使用的方法非常簡單：改名。

　　這次發(fā)現(xiàn)的惡意應用程序有 7 個，它們早在去年就被匯報給 Google 并下架過了，但現(xiàn)在，它們通過更改包名稱重新以表情符號鍵盤、空間清理、計算器等類型登錄 Google Play。

　　這里簡單介紹下這些惡意應用的表現(xiàn)，大家注意下：

　　安裝后會進入幾小時靜默期，以此避免被注意頂著 Google Play 圖標來索要管理員權限把自己的圖標改成 Google Play、Google 地圖這些常見應用通過提供內容來獲利——比如重定向網站——并且這個形式是云端可控的。

　　相對來說，這一次惡意軟件的行為其實并不重要，更危險的是這次登錄 Google Play 的形式，Google Play 安全流程中的問題。