安全不了的 Android,想不明白的 Google
2018-05-14 10:42

安全不了的 Android,想不明白的 Google

虎嗅注:在 Android 的安全问题上,Google 可长点心吧!本文来自微信公众号“Pingwest 品玩”(ID:wepingwest),作者:宋图样。虎嗅获得授权转载。


二十六个字母都数到 P 了,然而 Android 生态的安全问题依然令人堪忧。而最近,安全问题更是集中爆发。


在今年的 Google I/O 大会上,Android 平台安全负责人 David Kleidermacher 在推销 Project Treble 时透露,Google 将把安全补丁更新纳入 OEM 协议当中,以此让更多的设备、更多的用户获得定期的安全补丁。


这是一个积极的行为,但细究下其实并不值得表扬,因为之所以提出这一方案,全因之前被人揭了短。就在今年四月,Security 安全研究实验室在测试了 1200 台不同品牌、不同渠道的手机后表示,安全补丁的安装状况并不尽人意,有些厂商甚至至少漏掉了 4 个月的安全补丁。


而就在这份报告发布前一个月,Kleidermacher 在接受 CNET 的采访中刚说完“Android现在和竞争对手一样安全”。


友军


用过 Google Pixel 的人都会注意到,Google 每个在月都有一次安全推送的,而且不管你是否想要更新,但其实这个安全补丁 Google 并不仅仅推送给自家手机。


对于安全问题,Google 现在会在每个月的第一个周一发布一份安全补丁公告,公告中会列出已知漏洞的补丁。而同样是这份补丁,各大厂商一般会提前一个月收到,目的是让 OEM 和供应商,比如芯片厂,能够在公告之前好修补漏洞。


这个设想是好的,并且如果友军认真执行的话效果也不错,比如 Essential 手机,虽然销量不好,但是它可以与 Google Pixel 同一天推送安全更新。


然而前面提到了,其他厂商并不都这么干的,具体各家差多少直接看图吧:



Security 还指出,这一结果的背后芯片供应商有很大责任,因为采用联发科芯片的手机在获得安全更新方面更显糟糕:



这里更新和芯片供应商的关系不是绝对的,比如 PingWest 品玩(微信号:wepingwest)这就有一台高通骁龙 835 的手机,目前 Android 安全更新还停留在 2017 年 12 月 1 日。


在这一现象被揭露之后,Google 迅速就做出了回应,承认了这项研究的重要性,并表示将会进行核实。而最终的结果,就是这次 Google I/O 上宣布的事情了。并且 Google 这两年一直在推行的 Project Treble 正好能够用上,利用这一机制,厂商制作安全补丁更容易,成本更低。


一边用政策来约束厂商,另一边又拉低用户抵触心理,可以说是个非常棒的套路。但估计 Kleidermacher 怎么也想不到,在扶友军的同时,自家阵脚乱了。


自家


据老牌安全软件赛门铁克研究发现,有一些曾经被发现过的恶意应用重登 Google Play 了,而且使用的方法非常简单:改名。


这次发现的恶意应用程序有 7 个,它们早在去年就被汇报给 Google 并下架过了,但现在,它们通过更改包名称重新以表情符号键盘、空间清理、计算器等类型登录 Google Play。


这里简单介绍下这些恶意应用的表现,大家注意下:


  • 安装后会进入几小时静默期,以此避免被注意

  • 顶着 Google Play 图标来索要管理员权限

  • 把自己的图标改成 Google Play、Google 地图这些常见应用

  • 通过提供内容来获利,比如重定向网站,并且这个形式是云端可控的




相对来说,这一次恶意软件的行为其实并不重要,更危险的是这次登录 Google Play 的形式,Google Play 安全流程中的问题。


首先,Google Play 的审核机制可以说是漏洞百出。在应用上架 Google Play 前的过程中,安全测试成了摆设,自动检测算法根本没起作用,人工审核就像个宣传称号。据赛门铁克表示,这些应用根本不能提供正常功能,所以人工审核了什么?


其次,在上架及用户安装后 Google 宣传的防护也没起作用。基于机器学习技术识别流氓软件的 Google Play Protect,据称每天会扫描数十亿应用,一样被绕过了。


最让人无法接受的是,这些体系还是被绕过两次,而第二次仅仅是通过改名就饶过了。这难免不让人联想到 Google Play 的安全流程中是不是没有“总结经验”这一行为,所谓的机器学习是不是学和做分开了。


而相对系统漏洞来说,恶意应用要让用户更加不适一些。毕竟大多数人的设备被蓄意利用漏洞攻击的可能性近乎为 0,但是装错个应用就直接中招了。


应用


提到安全问题,很多人自然而然地就会联想到流氓应用,然后就会想到“全家桶”,进而就会想到 Google 这几年更新了几个管理措施,更进一步还会想到为什么还压制不住这些应用的泛滥。


其实,这事还得怨 Google,因为 Google 一直没想明白问题的重点。


以 Android 8.0 为例,Google 虽然推出了一个后台控制特性,但是这个特性如果想完全正常使用有一个前提条件,应用程序的封包 SDK 要达到 API 26(一个不面向用户的开发设定,和 Android 版本同步更新,目前正式版最高 API 27,Android P 是 API 28)。直白点说,就是应用是针对 Android 8.0 开发的。如果应用没这么做,那么结果就是新特性最多只能发挥一小部分作用,但并不会影响 App 的正常使用和滥用。


所以,控制权在应用开发者手里。如果他们认为 Android 新机制非常棒,应该遵守,那就上新的 API。而如果产品部、推送服务商觉得组成全家桶卖相好,那么就保持原样。



PingWest 品玩(微信号:wepingwest)测试了几个 Google Play 中的应用后发现,其中最低的居然可以低到 API 18,甚至 Google 自家的某些应用也还停留在 API 24。而在 Google Play 之外,腾讯新推出的 TIM,现在还在用 Android 4.0.3 时期的 API 15 玩得不亦乐乎。


可见,在这种近乎君子协议的前提下,想指望厂商跟上脚步、自我约束,这在短期内无异于痴人说梦。


至于这种情况什么时候能更进一步的改善,还要看 Google 什么时候能想明白强权的重要性。

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定