二十六个字母都数到 P 了,然而 Android 生态的安全依然是一个让人堪忧的状况,而最近,这个情况更是集中爆发。
在今年的 Google I/O 大会上,Android 平台安全负责人 David Kleidermacher 在推销 Project Treble 时透露,Google 将把安全补丁更新纳入 OEM 协议当中,以此让更多的设备,更多的用户获得定期的安全补丁。
这是一个积极的行为,但细究下就并不值得表扬了,因为之所以提出这一方案全因之前被人揭了短。
就在今年四月,Security 安全研究实验室在测试了 1200 台不同品牌、不同渠道的手机后表示,安全补丁的安装状况并不尽人意,有些厂商甚至至少漏掉了 4 个月的安全补丁。
而就在这份报告发布前一个月,Kleidermacher 在接受 CNET 的采访中刚说完“Android现在和竞争对手一样安全”。
友军
用过 Google Pixel 的人都会注意到,Google 每个在月都有一次安全推送的,而且不管你是否想要更新,但其实这个安全补丁 Google 并不仅仅推送给自家手机。
对于安全问题,Google 现在会在每个月的第一个周一发布一份安全补丁公告,公告中会列出已知漏洞的补丁。而同样是这份补丁,各大厂商一般会提前一个月收到,目的是让 OEM 和供应商——比如芯片厂——能够在公告之前好修补漏洞。
这个设想是好的,并且如果友军认真执行的话效果也不错,比如 Essential 手机,虽然销量不好,但是它可以与 Google Pixel 同一天推送安全更新。
然而前面提到了,其他厂商并不都这么干的,具体各家差多少直接看图吧:
Security 还指出,这一结果的背后芯片供应商有很大责任,因为采用联发科芯片的手机在获得安全更新方面更显糟糕:
这里更新和芯片供应商的关系不是绝对的,比如 PingWest 品玩这就有一台高通骁龙 835 的手机,目前 Android 安全更新还停留在 2017 年 12 月 1 日。
在这一现象被揭露之后,Google 迅速就做出了回应,承认了这项研究的重要性,并表示将会进行核实。而最终的结果,就是这次 Google I/O 上宣布的事情了。并且 Google 这两年一直在推行的 Project Treble 正好能够用上,利用这一机制,厂商制作安全补丁更容易,成本更低。
一边用政策来约束厂商,另一边又许拉低抵触心理,可以说是个非常棒的套路。但估计 Kleidermacher 怎么也想不到,在扶友军的同时,自家阵脚乱了。
自家
据老牌安全软件赛门铁克研究发现,有一些曾经被发现过的恶意应用重登 Google Play 了,而且使用的方法非常简单:改名。
这次发现的恶意应用程序有 7 个,它们早在去年就被汇报给 Google 并下架过了,但现在,它们通过更改包名称重新以表情符号键盘、空间清理、计算器等类型登录 Google Play。
这里简单介绍下这些恶意应用的表现,大家注意下:
- 安装后会进入几小时静默期,以此避免被注意
- 顶着 Google Play 图标来索要管理员权限
- 把自己的图标改成 Google Play、Google 地图这些常见应用
- 通过提供内容来获利——比如重定向网站——并且这个形式是云端可控的
相对来说,这一次恶意软件的行为其实并不重要,更危险的是这次登录 Google Play 的形式,Google Play 安全流程中的问题。
首先,Google Play 的审核机制可以说是漏洞百出。在应用上架 Google Play 前的过程中,安全测试成了摆设,自动检测算法根本没起作用,人工审核就像个宣传称号——据赛门铁克表示,这些应用根本不能提供正常功能,所以人工审了什么?
其次,在上架及用户安装后 Google 宣传的防护也没起作用。基于机器学习技术识别流氓软件的 Google Play Protect,据称每天会扫描数十亿应用,一样被绕过了。
最让人无法接受的是,这些体系还是被绕过两次,而第二次仅仅是通过改名就饶过了。这难免不让人联想到 Google Play 的安全流程中是不是没有“总结经验”这一行为,所谓的机器学习是不是学和做分开了。
而相对系统漏洞来说,恶意应用要让用户更加不适一些。毕竟大多数人的设备被蓄意利用漏洞攻击的可能性近乎为 0,但是装错个应用就直接中招了。
应用
提到恶意应用,很多人自然而然的就会联想到流氓应用,然后就会想到“全家桶”,进而就会想到 Google 这几年更新了几个管理措施,更进一步还会想到为什么还压制不住他们。
其实,这事还得怨 Google,因为 Google 一直没想明白问题重点。
以 Android 8.0 为例,Google 虽然推出了一个后台控制特性,但是这个特性如果想完全正常使用有一个前提条件,应用程序的封包 SDK 要达到 API 26(一个不面向用户的开发设定,和 Android 版本同步更新,目前正式版最高 API 27,Android P 是 API 28),直白点说就是应用是针对 Android 8.0 开发的。如果应用没这么做,那么结果就是新特性最多只能发挥一小部分作用,但并不会影响 App 的正常使用和滥用。
所以,控制权在应用开发者手里。如果他们认为 Android 新机制非常棒,应该遵守,那就上新的 API。而如果产品部、推送服务商觉得组成全家桶卖相好,那么就保持原样。
笔者了几个 Google Play 中的应用后发现,其中最低的居然可以低到 API 18,甚至 Google 自家的某些应用也还停留在 API 24。而在 Google Play 之外,腾讯新推的 TIM,现在还在用 Android 4.0.3 时期的 API 15 玩的不亦乐乎。
可见,在这种近乎君子协议的前提下,想指望厂商跟上脚步、自我约束,这在短期内无异于痴人说梦。
至于这种情况什么时候能更进一步的改善,还要看 Google 什么时候想明白强权的重要性。