二十六個字母都數(shù)到P了���,然而Android生態(tài)的安全依然是一個讓人堪憂的狀況��,而最近��,這個情況更是集中爆發(fā)����。
在今年的Google I/O大會上��,Android平臺安全負責人David Kleidermacher在推銷Project Treble時透露����,Google將把安全補丁更新納入OEM協(xié)議當中,以此讓更多的設備��,更多的用戶獲得定期的安全補丁。
這是一個積極的行為�,但細究下就并不值得表揚了,因為之所以提出這一方案全因之前被人揭了短�。
就在今年四月,Security安全研究實驗室在測試了1200臺不同品牌�����、不同渠道的手機后表示�����,安全補丁的安裝狀況并不盡人意�����,有些廠商甚至至少漏掉了4個月的安全補丁���。
而就在這份報告發(fā)布前一個月,Kleidermacher在接受CNET的采訪中剛說完“Android現(xiàn)在和競爭對手一樣安全”��。
友軍
用過Google Pixel的人都會注意到��,Google每個在月都有一次安全推送的�����,而且不管你是否想要更新,但其實這個安全補丁Google并不僅僅推送給自家手機��。
對于安全問題�,Google現(xiàn)在會在每個月的第一個周一發(fā)布一份安全補丁公告,公告中會列出已知漏洞的補丁�。而同樣是這份補丁,各大廠商一般會提前一個月收到��,目的是讓OEM和供應商——比如芯片廠——能夠在公告之前好修補漏洞��。
這個設想是好的���,并且如果友軍認真執(zhí)行的話效果也不錯��,比如Essential手機���,雖然銷量不好,但是它可以與Google Pixel同一天推送安全更新��。
然而前面提到了�,其他廠商并不都這么干的,具體各家差多少直接看圖吧:
Security還指出����,這一結果的背后芯片供應商有很大責任��,因為采用聯(lián)發(fā)科芯片的手機在獲得安全更新方面更顯糟糕:
這里更新和芯片供應商的關系不是絕對的�,比如PingWest品玩這就有一臺高通驍龍835的手機�����,目前Android安全更新還停留在2017年12月1日�。
在這一現(xiàn)象被揭露之后,Google迅速就做出了回應��,承認了這項研究的重要性���,并表示將會進行核實�。而最終的結果��,就是這次Google I/O上宣布的事情了���。并且Google這兩年一直在推行的Project Treble正好能夠用上,利用這一機制��,廠商制作安全補丁更容易�����,成本更低。
一邊用政策來約束廠商���,另一邊又許拉低抵觸心理��,可以說是個非常棒的套路�。但估計Kleidermacher怎么也想不到��,在扶友軍的同時��,自家陣腳亂了���。
自家
據(jù)老牌安全軟件賽門鐵克研究發(fā)現(xiàn)��,有一些曾經被發(fā)現(xiàn)過的惡意應用重登Google Play了�����,而且使用的方法非常簡單:改名����。
這次發(fā)現(xiàn)的惡意應用程序有7個��,它們早在去年就被匯報給Google并下架過了,但現(xiàn)在��,它們通過更改包名稱重新以表情符號鍵盤�、空間清理、計算器等類型登錄Google Play��。
這里簡單介紹下這些惡意應用的表現(xiàn)�����,大家注意下:
- 安裝后會進入幾小時靜默期�����,以此避免被注意
- 頂著Google Play圖標來索要管理員權限
- 把自己的圖標改成Google Play�、Google地圖這些常見應用
- 通過提供內容來獲利——比如重定向網(wǎng)站——并且這個形式是云端可控的
相對來說,這一次惡意軟件的行為其實并不重要��,更危險的是這次登錄Google Play的形式���,Google Play安全流程中的問題��。
首先,Google Play的審核機制可以說是漏洞百出�����。在應用上架Google Play前的過程中,安全測試成了擺設�,自動檢測算法根本沒起作用,人工審核就像個宣傳稱號——據(jù)賽門鐵克表示�����,這些應用根本不能提供正常功能����,所以人工審了什么?
其次��,在上架及用戶安裝后Google宣傳的防護也沒起作用����������;跈C器學習技術識別流氓軟件的Google PlayProtect���,據(jù)稱每天會掃描數(shù)十億應用����,一樣被繞過了。
最讓人無法接受的是����,這些體系還是被繞過兩次,而第二次僅僅是通過改名就饒過了����。這難免不讓人聯(lián)想到Google Play的安全流程中是不是沒有“總結經驗”這一行為,所謂的機器學習是不是學和做分開了�����。
而相對系統(tǒng)漏洞來說�����,惡意應用要讓用戶更加不適一些���。畢竟大多數(shù)人的設備被蓄意利用漏洞攻擊的可能性近乎為0�,但是裝錯個應用就直接中招了����。
應用
提到惡意應用�,很多人自然而然的就會聯(lián)想到流氓應用��,然后就會想到“全家桶”�����,進而就會想到Google這幾年更新了幾個管理措施�����,更進一步還會想到為什么還壓制不住他們����。
其實��,這事還得怨Google���,因為Google一直沒想明白問題重點���。
以Android 8.0為例,Google雖然推出了一個后臺控制特性�����,但是這個特性如果想完全正常使用有一個前提條件,應用程序的封包SDK要達到API 26(一個不面向用戶的開發(fā)設定�,和Android版本同步更新,目前正式版最高 API 27�,Android P是API 28),直白點說就是應用是針對Android 8.0開發(fā)的����。如果應用沒這么做,那么結果就是新特性最多只能發(fā)揮一小部分作用���,但并不會影響App的正常使用和濫用�����。
所以��,控制權在應用開發(fā)者手里����。如果他們認為Android新機制非常棒�,應該遵守,那就上新的API�����。而如果產品部、推送服務商覺得組成全家桶賣相好����,那么就保持原樣��。
PingWest品玩測試了幾個Google Play中的應用后發(fā)現(xiàn)��,其中最低的居然可以低到API 18���,甚至Google自家的某些應用也還停留在API 24����。而在Google Play之外���,騰訊新推的TIM����,現(xiàn)在還在用Android 4.0.3時期的API 15玩的不亦樂乎����。
可見,在這種近乎君子協(xié)議的前提下,想指望廠商跟上腳步���、自我約束���,這在短期內無異于癡人說夢。
至于這種情況什么時候能更進一步的改善��,還要看Google什么時候想明白強權的重要性���。
關注樓主