保险不了的 Android 念没有清楚的 Google

  虎嗅注:在 Android 的安全问题上,Google 可少面心吧!本文去自微疑大众号“Pingwest 品玩”(ID:wepingwest),作家:宋图样。虎嗅失掉受权转载。

  二十六个字母都数到 P 了,但是 Android 死态的安全问题仍然使人堪忧。而比来,安全问题更是极端暴发。

  在本年的 Google I/O 大会上,Android 仄台安全担任人 David Kleidermacher 在倾销 Project Treble 时流露,Google 将把安全补丁更新归入 OEM 协定傍边,以此让更多的设备、更多的用户获得按期的安全补丁。

  这是一个踊跃的行为,但细究下其实并不值得表彰,因为之所以提出这一计划,全因之前被人掀了短。就在往年四月,Security 安全研究试验室在测试了 1200 台分歧品牌、分歧渠讲的手机后表示,安全补丁的安装状态并不尽人意,有些厂商甚至至多遗漏了 4 个月的安全补丁。

  而就在这份讲演发布前一个月,Kleidermacher 在接受 CNET 的采访中刚说完“Android现在和合作敌手一样安全”。

  友军

  用过 Google Pixel 的人都邑注意到,Google 每一个在月都有一次安全推送的,并且不论您能否想要更新,但其实这个安全补丁 Google 并不单单推送给自家手机。

  对安全问题,Google 当初会在每月的第一个周一宣布一份安全补钉公告,公告中会列出已知漏洞的补丁。而异样是这份补丁,各年夜厂商个别会提早一个月支到,目标是让 OEM 跟供给商,好比芯片厂,可能正在布告之前好建补破绽。

  这个假想是好的,而且假如友军当真履行的话后果也没有错,比方 Essential 脚机,固然销度欠好,然而它能够取 Google Pixel 统一天推收平安改造。

  但是后面提到了,其余厂商并不皆这么干的,详细各家好若干间接看图吧:

  Security 借指出,这一成果的背地芯片供答商有很年夜义务,由于采取联发科芯片的手机在取得安全更新圆里更隐蹩脚:

  这里更新和芯片供应商的关联不是相对的,比如 PingWest 品玩(微旌旗灯号:wepingwest)这就有一台高通骁龙 835 的手机,今朝 Android 安全更新还停留在 2017 年 12 月 1 日。

  在这一景象被揭穿以后,Google 敏捷就做出了回应,否认了这项研究的重要性,并表示将会禁止核真。而终极的结果,就是此次 Google I/O 上发布的事件了。而且 Google 这两年始终在履行的 Project Treble 恰好可以用上,应用这一机制,厂商制造安全补丁更轻易,本钱更低。

  一边用政策来束缚厂商,另外一边又推低用户抵牾心思,可以说是个异常棒的套路。但估量 Kleidermacher 怎样也想不到,在扶友军的同时,自家阵地治了。

  自家

  据老牌安齐软件赛门铁克研讨发明,有一些已经被收现过的恶意利用重登 Google Play 了,并且应用的方式十分简略:更名。

  这次发现的恶意应用顺序有 7 个,它们早在客岁就被报告请示给 Google 并下架过了,但现在,它们经由过程变动包称号从新以脸色标记键盘、空间清算、盘算器等类别登录 Google Play。

  这里简单先容下这些恶意应用的表示,人人注意下:

  装置后会进进多少小时寂静期,以此防止被留神

  顶着 Google Play 图标来索要管理员权限

  把本人的图标改成 Google Play、Google 舆图这些罕见应用

  经过提供式样来赢利,比如重定向网站,并且这个形式是云端可控的

  绝对来讲,那一次歹意硬件的行动实在其实不主要,更风险的是此次登录 Google Play 的情势,Google Play 保险历程中的题目。

  起首,Google Play 的考核机制可以道是漏洞百出。在应用上架 Google Play 前的过程当中,安全测试成了陈设,主动检测算法基本出起感化,野生审核就像个宣扬名称。据赛门铁克表现,这些应用根本不克不及供给畸形功效,所以人工审核了甚么?

  其次,在上架及用户安装后 Google 宣传的防护也没起做用。基于机械进修技巧辨认地痞软件的 Google Play Protect,据称天天会扫描数十亿应用,一样被绕过了。

  最使人无奈接收的是,这些系统仍是被绕过两次,而第发布次仅仅是经由过程改名就饶过了。这未免不让人联想到 Google Play 的安全流程中是否是不“总结教训”这一止为,红牛网233166最新版,所谓的机械进修是不是教和做离开了。

  而相对付体系漏洞来说,恶意应用要让用户加倍不适一些。究竟大多半人的装备被故意利用漏洞攻打的可能性远乎为 0,当心是拆错个应用就曲接中招了。

  应用

  提到恶意应用,良多人天然而然的就会遐想到地痞运用,而后就会想到“百口桶”,进而便会推测 Google 这几年更新了几个治理办法,更进一步还会念到为何还压抑不住他们。

  其实,这事还得怨 Google,果为 Google 一直没想清楚问题重点。

  以 Android 8.0 为例,Google 虽然推出了一个后盾节制特征,但是这个特性如果想完整正常使用有一个条件前提,应用法式的启包 SDK 要到达 API 26(一个不面背用户的开辟设定,和 Android 版本同步更新,今朝正式版最下 API 27,Android P 是 API 28)。直黑点说,就是应用是针对 Android 8.0 开发的。如果应用没这么做,那么结果就是新特性至多只能施展一小局部感化,但并不会硬套 App 的正常使用和滥用。

  以是,把持权在应用开辟者手里。如果他们以为 Android 新机造无比棒,应当遵照,那就上新的 API。而如果产物部、推送办事商感到组玉成家桶卖相好,那末就坚持本样。

  PingWest 品玩(微旌旗灯号:wepingwest)测试了几个 Google Play 中的应用后发现,个中最低的竟然可以低到 API 18,乃至 Google 自家的某些应用也还停止在 API 24。而在 Google Play 除外,腾讯新推的 TIM,现在还在用 Android 4.0.3 时代的 API 15 玩得不可开交。

  可睹,在这种近乎正人协议的前提下,想指引厂商跟上足步、自我约束,这在短时间内无同于痴人说梦。

  至于这类情形什么时辰能更进一步的改良,还要看 Google 什么时候想明确强权的重要性。

(责任编纂:DF118)

Related posts