12月初,谷歌公布了最新的安卓安全补丁集。谷歌表示,本次安全补丁集并不包含任何功能更新,主要对目前系统中存在的漏洞进行修复。
谷歌为了安全补丁可谓操碎了心,几乎就差把饭喂进手机厂商的嘴里。不过,因为复杂的市场环境、利益关系以及自身能力,手机厂商们对于谷歌主动提供的安全补丁反倒情绪复杂,有人无所谓有人很积极。
恩威并施的“保姆”谷歌为何操碎了心
安卓作为开源系统一直是开放给全世界各个手机厂商使用的,很多手机厂商都基于原生安卓开发出了自家的深度定制系统。
不过,由于安卓自身的开放性,容易存在安全漏洞引发网络攻击。为此,早在2013年开始,谷歌就推出了“补丁奖励计划”。该计划涵盖许多开源软件,其中包括Android开源项目。
尤其是2015年开始,谷歌每月都会为安卓打上一次安全补丁,目的就是让用户能获得更安全的手机使用体验,不过有些第三方手机厂商,更新安全补丁速度却前后不一,有些干脆选择性遗忘。
为促使手机厂商能够更积极响应,为用户安全投入更多精力,谷歌也是想出了法子,直接给手机厂商“喂饭”——比如说,今年5月的安全补丁合集中包含两个独立的安全补丁级别脚本,以便于安卓合作伙伴更加灵活更加快捷的修复漏洞。
连脚本都写好了,就是希望手机厂商们能拿去好好给自家安卓打补丁。谷歌为了用户安全,像“保姆”一样哄着手机厂商,督促他们尽快打好补丁。不过,很多第三方手机厂商的态度依旧如鸵鸟一样埋在沙里。
德国安全厂商G DATA5月5日公布的报告显示,2017年第一季度出现了75万个新的安卓病毒,势头略有减缓,但全年下来预计会超过350万个,再创新高。DATA指出,谷歌越来越重视安卓系统的安全,每个月都会推送安全补丁,但最大问题在于各厂商的跟进速度太慢。
也正是如此,谷歌恩威并施,为推动OEM厂商对安卓安全补丁进行及时更新,开始对安全补丁的更新状态进行晾晒。在谷歌的计划中,2017年会联合运营商对OEM厂商进行督促施压。1月起,谷歌便开始公布所有OEMs超过100万发货量的旗舰设备的安全补丁更新状态预览,而在3月起,更低发货量的设备更新状态也被公布。
为何部分厂商对于安全补丁热情不高?
不过,面对谷歌的安全补丁,不同手机厂商出现了截然不同的态度。从Google网站上获取的华为、三星、小米、VIVO几家厂商对安全补丁的升级情况,可以看出各家手机厂商的升级率来看,表现有所不同。
不难发现,三星的表现比较突出,在升级率排名前十的机型中,最新发布的三星S8系列保持了90天平均升级率100%的水准,其它机型也保持了60%以上的升级率,三星对谷歌安全补丁升级的重视程度可见一斑。
整体上来看,华为、小米和Vivo在安全补丁升级率方面明显低于国际厂商,基本上新款机型的升级率较高,而老款产品的表现差强人意。出现这样的原因其实很复杂,主要还是在于两点。
1、每月月初发布补丁,迭代频率高,对厂商人力提出较高挑战,有些用户拿到手机以后从不升级系统,这对于手机厂商而言,费再多力气去推送补丁也成效不大,厂商费力不讨好。对消费者来说,补丁的作用太隐性,不能明显感知,所以重视程度也不够,甚至很多消费者对于补丁的作用一无所知。
2、对于一些国际化程度较高的厂商来说,推送补丁没有想象的那么简单。不同国家不同地区的运营商,比如欧洲 VDF、拉美Claro、西班牙Movistar等都需要运营商测试,经常延误测试时间或者没有测试资源,导致月度发布的版本计划经常无法达成,影响到下个补丁版本,所以很难完成每月一次的升级。
综合这两点因素来看,国内很多厂商干脆对打补丁这件事情视而不见,这也导致一些旧机器会成为黑客攻击的重点对象。
华为积极响应谷歌打补丁号召原因何在?
面对谷歌提出的针对系统安全补丁更新的要求,以及国际厂商的重视程度,华为也意识到了这种差距,正在积极响应并及时跟进。早在2016年,华为就已着手相关工作,而且在2017年开始发力。
除今年最新发布机型已经加快跟上安全补丁更新外,华为上半年的补丁计划已经覆盖P8、P8 Lite、P9 、P9 Lite4款产品,其中P8,P8 Lite从12月份到现在实现了按月度更新发布,3月份开始P9、P9 Lite也加入了月度更新计划。2018年开始华为Mate 9系列,P9系列,P10系列,荣耀旗舰系列,Nova,Nova2,荣耀6X等机型都会达成月度安全补丁升级,其余机型按季度推送版本更新Google安全补丁。
为了让补丁覆盖更多的基础版本,还提出更优化的Hota升级机制。所谓Hota升级机制也就是指Android系统提供的标准软件升级方式,可以无损失升级系统,主要手段是通过网络自动下载OTA升级包,实现自动升级。这种机制能够让很多小白用户可以直接被补丁覆盖。
华为如此积极响应谷歌的号召给用户打补丁核心来看,还是出于三点原因:
1、为了保障华为旗舰机、爆款用户手机资金和数据安全,提升用户体验,减少使用风险,让系统更加安全可靠。尤其是华为用户很大一部分是政企用户,这类用户对于数据安全因素十分重视,一旦发生安全风险,用户个人损失将不可估量。在补丁问题上足够重视的话,能够最大程度地避免风险。
2、三星、LG这类国际大厂在月度补丁的问题上一直走在前列。华为去年做的相对不够,但是补丁问题事关安全。作为世界品牌,在这类真正考验厂商态度的问题上需要向国际品牌看齐,为华为手机在海外市场的品牌以及市场影响力做好硬实力的积淀。
3、目前国内手机厂商对于补丁的态度普遍重视不够,这种环境容易滋生更多安全隐患,华为首先形成月度更新补丁的习惯,为减少国内手机安全风险作出自己的表率,容易在国产手机市场中形成示范效应,为安卓安全生态贡献力量,影响国内手机厂商,让市场普遍形成每月更新补丁的习惯,进而推动国内移动安全生态逐渐形成良性循环。
安卓安全生态需要更多手机厂商的配合
不仅仅是华为,越来越多的手机厂商正在积极响应谷歌的号召。今年3月,三星对J2 Prime、J5 (2016)、C5在内的多款中低端手机进行了最新的补丁更新。在众多安卓手机厂商中,三星对系统维护一直非常上心,补丁覆盖范围已经覆盖到了中低端机型。
而在今年5月,黑莓就向旗下所有安卓手机下发最新的系统更新,主要内容是每月一次的安全补丁更新——5月谷歌安全补丁。更新还修复了此前版本中的一些漏洞,包括NFC、wifi和短信等位置的漏洞,让系统相对更加安全。
去年11月,谷歌安全主管Adrian Ludwig 日前在一次安全峰会上称,在安全性上,安卓手机和iPhone“几乎是一模一样的”。
这句话其实是有条件的,那就是手机厂商能够及时解决系统中存在的隐患,让安全补丁防范各类风险。
不过,这不是谷歌一家的事情,也不是手机厂商自身的事情。安卓的安全生态需要所有安卓手机厂商配合谷歌一起来构建。可喜的是,我们正在看到华为等一系列厂商正在为安卓安全生态尽力。