安全不(No)了(Got it)的(of) Android，想不(No)明白的(of) Google

摘要(want)：在(exist) Android 的(of)安全問題上，Google 可長點心吧！

二十六個(indivual)字母都數到(arrive) P 了(Got it)，然而 Android 生(born)态的(of)安全問題依然令人(people)堪憂。而最近，安全問題更是(yes)集中爆發。

在(exist)今年的(of) Google I/O 大(big)會上，Android 平台安全負責人(people) David Kleidermacher 在(exist)推銷 Project Treble 時(hour)透露，Google 将把安全補丁更新納入 OEM 協議當中，以(by)此讓更多的(of)設備、更多的(of)用(use)戶獲得定期的(of)安全補丁。

這(this)是(yes)一(one)個(indivual)積極的(of)行爲(for)，但細究下其實并不(No)值得表揚，因爲(for)之所以(by)提出(out)這(this)一(one)方案，全因之前被人(people)揭了(Got it)短。就在(exist)今年四月，Security 安全研究實驗室在(exist)測試了(Got it) 1200 台不(No)同品牌、不(No)同渠道的(of)手機後表示，安全補丁的(of)安裝狀況并不(No)盡人(people)意，有些廠商甚至至少漏掉了(Got it) 4 個(indivual)月的(of)安全補丁。

而就在(exist)這(this)份報告發布前一(one)個(indivual)月，Kleidermacher 在(exist)接受 CNET 的(of)采訪中剛說完“Android現在(exist)和(and)競争對手一(one)樣安全”。

友軍

用(use)過 Google Pixel 的(of)人(people)都會注意到(arrive)，Google 每個(indivual)在(exist)月都有一(one)次安全推送的(of)，而且不(No)管你是(yes)否想要(want)更新，但其實這(this)個(indivual)安全補丁 Google 并不(No)僅僅推送給自家手機。

對于(At)安全問題，Google 現在(exist)會在(exist)每個(indivual)月的(of)第一(one)個(indivual)周一(one)發布一(one)份安全補丁公告，公告中會列出(out)已知漏洞的(of)補丁。而同樣是(yes)這(this)份補丁，各大(big)廠商一(one)般會提前一(one)個(indivual)月收到(arrive)，目的(of)是(yes)讓 OEM 和(and)供應商，比如芯片廠，能夠在(exist)公告之前好修補漏洞。

這(this)個(indivual)設想是(yes)好的(of)，并且如果友軍認真執行的(of)話效果也不(No)錯，比如 Essential 手機，雖然銷量不(No)好，但是(yes)它可以(by)與 Google Pixel 同一(one)天推送安全更新。

然而前面提到(arrive)了(Got it)，其他(he)廠商并不(No)都這(this)麽幹的(of)，具體各家差多少直接看圖吧：

Security 還指出(out)，這(this)一(one)結果的(of)背後芯片供應商有很大(big)責任，因爲(for)采用(use)聯發科芯片的(of)手機在(exist)獲得安全更新方面更顯糟糕：

這(this)裏更新和(and)芯片供應商的(of)關系不(No)是(yes)絕對的(of)，比如 PingWest 品玩（微信号：wepingwest）這(this)就有一(one)台高通骁龍 835 的(of)手機，目前 Android 安全更新還停留在(exist) 2017 年 12 月 1 日。

在(exist)這(this)一(one)現象被揭露之後，Google 迅速就做出(out)了(Got it)回應，承認了(Got it)這(this)項研究的(of)重要(want)性，并表示将會進行核實。而最終的(of)結果，就是(yes)這(this)次 Google I/O 上宣布的(of)事情了(Got it)。并且 Google 這(this)兩年一(one)直在(exist)推行的(of) Project Treble 正好能夠用(use)上，利用(use)這(this)一(one)機制，廠商制作(do)安全補丁更容易，成本更低。

一(one)邊用(use)政策來(Come)約束廠商，另一(one)邊又拉低用(use)戶抵觸心理，可以(by)說是(yes)個(indivual)非常棒的(of)套路。但估計 Kleidermacher 怎麽也想不(No)到(arrive)，在(exist)扶友軍的(of)同時(hour)，自家陣腳亂了(Got it)。

自家

據老牌安全軟件賽門鐵克研究發現，有一(one)些曾經被發現過的(of)惡意應用(use)重登 Google Play 了(Got it)，而且使用(use)的(of)方法非常簡單：改名。

這(this)次發現的(of)惡意應用(use)程序有 7 個(indivual)，它們(them)早在(exist)去年就被彙報給 Google 并下架過了(Got it)，但現在(exist)，它們(them)通過更改包名稱重新以(by)表情符号鍵盤、空間清理、計算器等類型登錄 Google Play。

這(this)裏簡單介紹下這(this)些惡意應用(use)的(of)表現，大(big)家注意下：

安裝後會進入幾小時(hour)靜默期，以(by)此避免被注意頂着 Google Play 圖标來(Come)索要(want)管理員權限把自己的(of)圖标改成 Google Play、Google 地(land)圖這(this)些常見應用(use)通過提供内容來(Come)獲利，比如重定向網站，并且這(this)個(indivual)形式是(yes)雲端可控的(of)。

相對來(Come)說，這(this)一(one)次惡意軟件的(of)行爲(for)其實并不(No)重要(want)，更危險的(of)是(yes)這(this)次登錄 Google Play 的(of)形式，Google Play 安全流程中的(of)問題。

首先，Google Play 的(of)審核機制可以(by)說是(yes)漏洞百出(out)。在(exist)應用(use)上架 Google Play 前的(of)過程中，安全測試成了(Got it)擺設，自動檢測算法根本沒起作(do)用(use)，人(people)工審核就像個(indivual)宣傳稱号。據賽門鐵克表示，這(this)些應用(use)根本不(No)能提供正常功能，所以(by)人(people)工審核了(Got it)什麽？

其次，在(exist)上架及用(use)戶安裝後 Google 宣傳的(of)防護也沒起作(do)用(use)。基于(At)機器學習技術識别流氓軟件的(of) Google Play Protect，據稱每天會掃描數十億應用(use)，一(one)樣被繞過了(Got it)。

最讓人(people)無法接受的(of)是(yes)，這(this)些體系還是(yes)被繞過兩次，而第二次僅僅是(yes)通過改名就饒過了(Got it)。這(this)難免不(No)讓人(people)聯想到(arrive) Google Play 的(of)安全流程中是(yes)不(No)是(yes)沒有“總結經驗”這(this)一(one)行爲(for)，所謂的(of)機器學習是(yes)不(No)是(yes)學和(and)做分開了(Got it)。

而相對系統漏洞來(Come)說，惡意應用(use)要(want)讓用(use)戶更加不(No)适一(one)些。畢竟大(big)多數人(people)的(of)設備被蓄意利用(use)漏洞攻擊的(of)可能性近乎爲(for) 0，但是(yes)裝錯個(indivual)應用(use)就直接中招了(Got it)。

應用(use)

提到(arrive)安全問題，很多人(people)自然而然地(land)就會聯想到(arrive)流氓應用(use)，然後就會想到(arrive)“全家桶”，進而就會想到(arrive) Google 這(this)幾年更新了(Got it)幾個(indivual)管理措施，更進一(one)步還會想到(arrive)爲(for)什麽還壓制不(No)住這(this)些應用(use)的(of)泛濫。

其實，這(this)事還得怨 Google，因爲(for) Google 一(one)直沒想明白問題的(of)重點。

以(by) Android 8.0 爲(for)例，Google 雖然推出(out)了(Got it)一(one)個(indivual)後台控制特性，但是(yes)這(this)個(indivual)特性如果想完全正常使用(use)有一(one)個(indivual)前提條件，應用(use)程序的(of)封包 SDK 要(want)達到(arrive) API 26（一(one)個(indivual)不(No)面向用(use)戶的(of)開發設定，和(and) Android 版本同步更新，目前正式版最高 API 27，Android P 是(yes) API 28）。直白點說，就是(yes)應用(use)是(yes)針對 Android 8.0 開發的(of)。如果應用(use)沒這(this)麽做，那麽結果就是(yes)新特性最多隻能發揮一(one)小部分作(do)用(use)，但并不(No)會影響 App 的(of)正常使用(use)和(and)濫用(use)。

所以(by)，控制權在(exist)應用(use)開發者手裏。如果他(he)們(them)認爲(for) Android 新機制非常棒，應該遵守，那就上新的(of) API。而如果産品部、推送服務商覺得組成全家桶賣相好，那麽就保持原樣。

PingWest 品玩（微信号：wepingwest）測試了(Got it)幾個(indivual) Google Play 中的(of)應用(use)後發現，其中最低的(of)居然可以(by)低到(arrive) API 18，甚至 Google 自家的(of)某些應用(use)也還停留在(exist) API 24。而在(exist) Google Play 之外，騰訊新推出(out)的(of) TIM，現在(exist)還在(exist)用(use) Android 4.0.3 時(hour)期的(of) API 15 玩得不(No)亦樂乎。

可見，在(exist)這(this)種近乎君子協議的(of)前提下，想指望廠商跟上腳步、自我(I)約束，這(this)在(exist)短期内無異于(At)癡人(people)說夢。

至于(At)這(this)種情況什麽時(hour)候能更進一(one)步的(of)改善，還要(want)看 Google 什麽時(hour)候能想明白強權的(of)重要(want)性。