侵权投诉
当前位置:

OFweek电子工程网

开发工具/算法

正文

安全不了的 Android,想不明白的 Google

导读: 二十六个字母都数到 P 了,然而 Android 生态的安全依然是一个让人堪忧的状况,而最近,这个情况更是集中爆发。

二十六个字母都数到 P 了,然而 Android 生态的安全依然是一个让人堪忧的状况,而最近,这个情况更是集中爆发。

在今年的 Google I/O 大会上,Android 平台安全负责人 David Kleidermacher 在推销 Project Treble 时透露,Google 将把安全补丁更新纳入 OEM 协议当中,以此让更多的设备,更多的用户获得定期的安全补丁。

这是一个积极的行为,但细究下就并不值得表扬了,因为之所以提出这一方案全因之前被人揭了短。

就在今年四月,Security 安全研究实验室在测试了 1200 台不同品牌、不同渠道的手机后表示,安全补丁的安装状况并不尽人意,有些厂商甚至至少漏掉了 4 个月的安全补丁。

而就在这份报告发布前一个月,Kleidermacher 在接受 CNET 的采访中刚说完“Android现在和竞争对手一样安全”。

友军

用过 Google Pixel 的人都会注意到,Google 每个在月都有一次安全推送的,而且不管你是否想要更新,但其实这个安全补丁 Google 并不仅仅推送给自家手机。

对于安全问题,Google 现在会在每个月的第一个周一发布一份安全补丁公告,公告中会列出已知漏洞的补丁。而同样是这份补丁,各大厂商一般会提前一个月收到,目的是让 OEM 和供应商——比如芯片厂——能够在公告之前好修补漏洞。

这个设想是好的,并且如果友军认真执行的话效果也不错,比如 Essential 手机,虽然销量不好,但是它可以与 Google Pixel 同一天推送安全更新。

然而前面提到了,其他厂商并不都这么干的,具体各家差多少直接看图吧:

安全不了的 Android,想不明白的 Google

Security 还指出,这一结果的背后芯片供应商有很大责任,因为采用联发科芯片的手机在获得安全更新方面更显糟糕:

安全不了的 Android,想不明白的 Google

这里更新和芯片供应商的关系不是绝对的,比如 PingWest 品玩这就有一台高通骁龙 835 的手机,目前 Android 安全更新还停留在 2017 年 12 月 1 日。

在这一现象被揭露之后,Google 迅速就做出了回应,承认了这项研究的重要性,并表示将会进行核实。而最终的结果,就是这次 Google I/O 上宣布的事情了。并且 Google 这两年一直在推行的 Project Treble 正好能够用上,利用这一机制,厂商制作安全补丁更容易,成本更低。

一边用政策来约束厂商,另一边又许拉低抵触心理,可以说是个非常棒的套路。但估计 Kleidermacher 怎么也想不到,在扶友军的同时,自家阵脚乱了。

自家

据老牌安全软件赛门铁克研究发现,有一些曾经被发现过的恶意应用重登 Google Play 了,而且使用的方法非常简单:改名。

这次发现的恶意应用程序有 7 个,它们早在去年就被汇报给 Google 并下架过了,但现在,它们通过更改包名称重新以表情符号键盘、空间清理、计算器等类型登录 Google Play。

这里简单介绍下这些恶意应用的表现,大家注意下:

安装后会进入几小时静默期,以此避免被注意顶着 Google Play 图标来索要管理员权限把自己的图标改成 Google Play、Google 地图这些常见应用通过提供内容来获利——比如重定向网站——并且这个形式是云端可控的。

安全不了的 Android,想不明白的 Google

相对来说,这一次恶意软件的行为其实并不重要,更危险的是这次登录 Google Play 的形式,Google Play 安全流程中的问题。

1  2  下一页>  
声明: 本文由入驻OFweek公众平台的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

我来说两句

(共0条评论,0人参与)

请输入评论

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码: