安全不了的 Android，想不明白的 Google

Posted 2021-04-27 科技美学官方

以下内容来自品玩

二十六个字母都数到 P 了，然而 android 生态的安全依然是一个让人堪忧的状况，而最近，这个情况更是集中爆发。

在今年的 Google I/O 大会上，Android 平台安全负责人 David Kleidermacher 在推销 Project Treble 时透露，Google 将把安全补丁更新纳入 OEM 协议当中，以此让更多的设备，更多的用户获得定期的安全补丁。

就在今年4月，Security 安全研究实验室在测试 1200 台不同品牌、不同渠道的手机后表示，安全补丁的安装状况并不尽人意，有些厂商甚至至少漏掉 4 个月的安全补丁。

而在这份报告发布前一个月，Kleidermacher 在接受 CNET 的采访中刚说完“Android现在和竞争对手一样安全”。

友军

Google 每个在月都有一次安全推送，并不仅仅推送给自家手机。

现在 Google 会在每个月的第一个周一发布一份安全补丁公告，公告中会列出已知漏洞的补丁。而各大厂商一般会提前一个月收到，目的是让 OEM 和供应商能够在公告之前好修补漏洞。

然而其他厂商并不都这么干的，具体各家差多少直接看图吧：

Security 还指出，这一结果的背后芯片供应商有很大责任，因为采用联发科芯片的手机在获得安全更新方面更显糟糕：

这里更新和芯片供应商的关系不是绝对的。

在这一现象被揭露之后，Google 迅速就做出回应，承认这项研究的重要性，并表示将会进行核实。而最终的结果，就是这次 Google I/O 上宣布的事情了。并且 Google 这两年一直在推行的 Project Treble 正好能够用上，利用这一机制，厂商制作安全补丁更容易，成本更低。

一边用政策来约束厂商，另一边又许拉低抵触心理，可以说是个非常棒的套路。但估计 Kleidermacher 怎么也想不到，在扶友军的同时，自家阵脚乱了。

自家

据老牌安全软件赛门铁克研究发现，有一些曾经被发现过的恶意应用重登 Google Play 了，而且使用的方法非常简单：改名。

这次发现的恶意应用程序有 7 个，它们早在去年就被汇报给 Google 并下架过了，但现在，它们通过更改包名称重新以表情符号键盘、空间清理、计算器等类型登录 Google Play。

这里简单介绍下这些恶意应用的表现，大家注意下：

安装后会进入几小时静默期，以此避免被注意

顶着 Google Play 图标来索要管理员权限

把自己的图标改成 Google Play、Google 地图这些常见应用

通过提供内容来获利——比如重定向网站——并且这个形式是云端可控的

相对来说，这一次恶意软件的行为其实并不重要，更危险的是这次登录 Google Play 的形式，Google Play 安全流程中的问题。

首先，Google Play 的审核机制可以说是漏洞百出。在应用上架 Google Play 前的过程中，安全测试成了摆设，自动检测算法根本没起作用，人工审核就像个宣传称号。

其次，在上架及用户安装后 Google 宣传的防护也没起作用。基于机器学习技术识别流氓软件的 Google Play Protect，据称每天会扫描数十亿应用，一样被绕过了。

最让人无法接受的是，这些体系还是被绕过2次，而第2次仅是通过改名就饶过了。

而相对系统漏洞来说，恶意应用要让用户更加不适一些。

应用

提到恶意应用，很多人自然而然的就会联想到流氓应用，然后就会想到“全家桶”，进而就会想到 Google 为什么还压制不住他们。

其实，这事还得怨 Google，因为 Google 一直没想明白问题重点。

以 Android 8.0 为例，Google 虽然推出一个后台控制特性，但是这个特性如果想完全正常使用有一个前提条件，应用程序的封包 SDK 要达到 API 26。如果应用没这么做，那么结果就是新特性最多只能发挥一小部分作用，但并不会影响 App 的正常使用和滥用。

所以，控制权在应用开发者手里。如果他们认为 Android 新机制非常棒，应该遵守，那就上新的 API。而如果产品部、推送服务商觉得组成全家桶卖相好，那么就保持原样。

测试几个 Google Play 中的应用后发现，其中最低的居然可以低到 API 18，甚至 Google 自家的某些应用也还停留在 API 24。

可见，在这种近乎君子协议的前提下，想指望厂商跟上脚步、自我约束，这在短期内无异于痴人说梦。

至于这种情况什么时候能更进一步的改善，还要看 Google 什么时候想明白强权的重要性。

---

• 
  

• 
  

•