您的位置:首页>>媒体评论

安全不了的Android 想不明白的谷歌

发布时间:2018-05-14 18:35:14  来源:PingWest    采编:张宏伟  背景:

  二十六个字母都数到P了,然而Android生态的安全依然是一个让人堪忧的状况,而最近,这个情况更是集中爆发。

  在今年的Google I/O大会上,Android平台安全负责人David Kleidermacher在推销Project Treble时透露,Google将把安全补丁更新纳入OEM协议当中,以此让更多的设备,更多的用户获得定期的安全补丁。

  这是一个积极的行为,但细究下就并不值得表扬了,因为之所以提出这一方案全因之前被人揭了短。

  就在今年四月,Security安全研究实验室在测试了1200台不同品牌、不同渠道的手机后表示,安全补丁的安装状况并不尽人意,有些厂商甚至至少漏掉了4个月的安全补丁。

  而就在这份报告发布前一个月,Kleidermacher在接受CNET的采访中刚说完“Android现在和竞争对手一样安全”。

  友军

  用过Google Pixel的人都会注意到,Google每个在月都有一次安全推送的,而且不管你是否想要更新,但其实这个安全补丁Google并不仅仅推送给自家手机。

  对于安全问题,Google现在会在每个月的第一个周一发布一份安全补丁公告,公告中会列出已知漏洞的补丁。而同样是这份补丁,各大厂商一般会提前一个月收到,目的是让OEM和供应商——比如芯片厂——能够在公告之前好修补漏洞。

  这个设想是好的,并且如果友军认真执行的话效果也不错,比如Essential手机,虽然销量不好,但是它可以与Google Pixel同一天推送安全更新。

  然而前面提到了,其他厂商并不都这么干的,具体各家差多少直接看图吧:

  Security还指出,这一结果的背后芯片供应商有很大责任,因为采用联发科芯片的手机在获得安全更新方面更显糟糕:

  这里更新和芯片供应商的关系不是绝对的,比如PingWest品玩这就有一台高通骁龙835的手机,目前Android安全更新还停留在2017年12月1日。

  在这一现象被揭露之后,Google迅速就做出了回应,承认了这项研究的重要性,并表示将会进行核实。而最终的结果,就是这次Google I/O上宣布的事情了。并且Google这两年一直在推行的Project Treble正好能够用上,利用这一机制,厂商制作安全补丁更容易,成本更低。

  一边用政策来约束厂商,另一边又许拉低抵触心理,可以说是个非常棒的套路。但估计Kleidermacher怎么也想不到,在扶友军的同时,自家阵脚乱了。

  自家

  据老牌安全软件赛门铁克研究发现,有一些曾经被发现过的恶意应用重登Google Play了,而且使用的方法非常简单:改名。

  这次发现的恶意应用程序有7个,它们早在去年就被汇报给Google并下架过了,但现在,它们通过更改包名称重新以表情符号键盘、空间清理、计算器等类型登录Google Play。

  这里简单介绍下这些恶意应用的表现,大家注意下:

  - 安装后会进入几小时静默期,以此避免被注意

  - 顶着Google Play图标来索要管理员权限

  - 把自己的图标改成Google Play、Google地图这些常见应用

  - 通过提供内容来获利——比如重定向网站——并且这个形式是云端可控的

  相对来说,这一次恶意软件的行为其实并不重要,更危险的是这次登录Google Play的形式,Google Play安全流程中的问题。

  首先,Google Play的审核机制可以说是漏洞百出。在应用上架Google Play前的过程中,安全测试成了摆设,自动检测算法根本没起作用,人工审核就像个宣传称号——据赛门铁克表示,这些应用根本不能提供正常功能,所以人工审了什么?

  其次,在上架及用户安装后Google宣传的防护也没起作用。基于机器学习技术识别流氓软件的Google PlayProtect,据称每天会扫描数十亿应用,一样被绕过了。

  最让人无法接受的是,这些体系还是被绕过两次,而第二次仅仅是通过改名就饶过了。这难免不让人联想到Google Play的安全流程中是不是没有“总结经验”这一行为,所谓的机器学习是不是学和做分开了。

  而相对系统漏洞来说,恶意应用要让用户更加不适一些。毕竟大多数人的设备被蓄意利用漏洞攻击的可能性近乎为0,但是装错个应用就直接中招了。

  应用

  提到恶意应用,很多人自然而然的就会联想到流氓应用,然后就会想到“全家桶”,进而就会想到Google这几年更新了几个管理措施,更进一步还会想到为什么还压制不住他们。

  其实,这事还得怨Google,因为Google一直没想明白问题重点。

  以Android 8.0为例,Google虽然推出了一个后台控制特性,但是这个特性如果想完全正常使用有一个前提条件,应用程序的封包SDK要达到API 26(一个不面向用户的开发设定,和Android版本同步更新,目前正式版最高 API 27,Android P是API 28),直白点说就是应用是针对Android 8.0开发的。如果应用没这么做,那么结果就是新特性最多只能发挥一小部分作用,但并不会影响App的正常使用和滥用。

  所以,控制权在应用开发者手里。如果他们认为Android新机制非常棒,应该遵守,那就上新的API。而如果产品部、推送服务商觉得组成全家桶卖相好,那么就保持原样。

  PingWest品玩测试了几个Google Play中的应用后发现,其中最低的居然可以低到API 18,甚至Google自家的某些应用也还停留在API 24。而在Google Play之外,腾讯新推的TIM,现在还在用Android 4.0.3时期的API 15玩的不亦乐乎。

  可见,在这种近乎君子协议的前提下,想指望厂商跟上脚步、自我约束,这在短期内无异于痴人说梦。

  至于这种情况什么时候能更进一步的改善,还要看Google什么时候想明白强权的重要性。




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:PingWest

美图牵手小米之后,手机业务将轻资产化运作
2018年11月19日,美图公司与小米集团宣布达成战略合作伙伴关系,联合推出更加强大的美图手机及智能...
日期:11-20
智能手机市场增长停滞,下半场拼什么?
经历了十多个年头的快速增长后,如今智能手机市场的增速发生了变化,先是2017年的增长放缓,到了201...
日期:11-15
5G或不会很快到来
(原标题:美国运营商:5G手机可能不会很快亮相)
  最近有报告指出,第一款 5G iPhone 可能会...
日期:11-15
外媒:被库克批评后 扎克伯格要求Facebook高管都用安卓手机
11月15日消息,据国外媒体报道,Facebook首席执行官扎克伯格(Mark Zuckerberg)已下令其高管团队只能...
日期:11-15
中国半导体崛起的野心与坎坷
近期半导体行业有两个大新闻。
  一个是美国制裁了中国三大存储器项目之一的福建晋华,一个...
日期:11-14
折叠屏手机太新是噱头?这件事比全面屏做的时间还要长
把大屏幕像书本一样折叠起来揣进裤兜,这件事已经不再只存在于科幻作品中。
日期:11-14
谈阿里云与天猫双11这十年
2009年,发生了两件看似不起眼的事。
  初春刚过,阿里云在北京一栋没有暖气的写字楼写下了...
日期:11-13
今年苹果新品迄今最贵  未来将成“可买得到的奢侈品”
在9月和10月两场最主要的发布会之后,今年苹果的新产品发布基本上已经告一段落。我们看到了2018年全...
日期:11-13
回顾手机发展史发现  电池是拖后腿存在
手机功能是越来越多了,人们也对手机的需求越来越大,手机续航一直以来都是大家关注的问题,毕竟谁...
日期:11-12
智能机的十年进化路
(原标题:从电话到智能机 这十年发生了什么?)
  2007 年,当乔布斯在舞台上发布第一代 iPhon...
日期:11-07
外媒:苹果的 MacBook 产品线有点乱
外媒 engadget 报道称,苹果目前的 MacBook 产品线有些混乱,用户在购买时可能会无从下手。
日期:11-05
智能手机电池之衰
市面上多数手机厂商都表示自家手机正常使用一天无压力,一天一充即可。但结果真如他们所说吗?
日期:11-05
从台前到幕后 浅谈滑盖全面屏专利之争
如果说17年的手机还是被各种异形全面屏这种“伪 全面屏”占领,那么“真 全面屏&rdq...
日期:11-04
智能手机或许非诺基亚最佳战场,功能手机才是出路?
情怀是对过去最好的肯定。
  情怀是一种高尚的心境、情趣和胸怀,随着时代的发展,情怀的定...
日期:11-04
魅族 Note 8 上手谈:仍属良品  但千元机的时代已逝
今年 5 月魅族内部经历了又一次架构调整,魅族、魅蓝两个品牌合并,于是这部原本应该取名魅蓝的机子...
日期:11-02