“为什么手机隔三差五就会弹出系统更新提示?”这是不少用户对于手机厂商催命似地提示自己升级系统时,发出的疑问。为了不让频繁的系统更新打扰到用户,谷歌方面可能要出手了。近日有消息源透露,谷歌正计划为Android系统引入“基于风险的安全更新系统”(RBUS)。
RBUS的核心目的是改变Android的安全更新机制,月度更新限定为仅包含高风险漏洞,其余的中低风险漏洞则会推迟到季度更新来解决,这也就意味着Android的安全策略将迎来十年内最大的一次转向。
早在2015年的拉斯维加斯世界黑帽大会上,谷歌方面就宣布将每月发布Android系统安全更新Android Security Bulletin,以降低Android设备被攻击的风险。比如在本月初,谷歌就推出了AOSP系统13-16版本的安全更新,累计修复84个漏洞,其中包括两项已被黑客积极利用的零日漏洞CVE-2025-38352和CVE-2025-48543。
事实上,在谷歌的Android开发者网站就能发现,该公司持之以恒地更新安全补丁也是过去十年Android在支持侧载的情况下,安全性还能与日俱增的关键。
尽管谷歌的Android月度安全更新策略确定让用户的设备变得更加可靠,但随之而来的负面影响同样也不容忽视。在当下这个智能手机已经成为了人类“新器官”的环境下,许多人恨不得都保持24小时开机,此时频繁推送系统更新带来的手机强制关机显然就会让一些用户不满。
从某种意义上来说,其实是Android用户被保护得太好,以至于忘记了网络中实际上是危机四伏,安全才是奢侈品。只不过消费者是上帝,谷歌确实也没办法苛求用户能理解他们的苦心。所以谷歌引入RBUS、改变安全更新策略,通过减少月度安全更新的内容,就会让每一次系统更新对于用户的打扰变得更轻微。
当然,安抚用户可能只是谷歌推出RBUS的次要任务,他们真正的目的是降低OEM合作伙伴的压力,促使Android手机厂商提升对于系统安全更新的重视。早在2018年,谷歌方面就发现了许多终端厂商对于安全更新的漠视,有相当多手机厂商并未及时向用户推送安全更新,因此成为了Android生态恶意软件泛滥的关键。
为此,当时谷歌宣布从2019年1月31日开始,强制Android设备制造商为用户推送安全更新,所有用户的设备都要确保不受过去90天内发现的安全漏洞的影响。可上有政策下有对策,即便谷歌手里掌握着GMS认证这个杀器,但面对终端厂商的“非暴力不合作”,他们也无可奈何。
事实上,系统更新一直以来都是Android生态中的一个痛点,相比封闭的苹果iOS,Android生态中不仅有谷歌,还有提供芯片的高通、联发科等芯片厂商,以及一众Android设备厂商。如果将Android作为一个整体,过多的SKU就导致了系统更新的适配难如登天,因此面对如此庞大的工作量,有相当多的Android设备厂商选择摆烂,只为旗舰产品及时推送更新。
终端厂商的阳奉阴违逼迫谷歌就只能通过技术手段来解决问题,比如Android 8新增的Project Treble就将硬件驱动与系统分离,使得终端厂商可以为设备单独推送系统更新,而无需重新进行驱动的适配。而在Android 10上引入的Project Mainline则是将系统功能模块化,让上游的供应商能够更细化地提供具体的功能更新。
但问题是Project Treble和Project Mainline只是解决了Android系统碎片化的问题,让终端厂商愿意为老设备推送新的大版本系统更新,面对安全补丁这种频繁推送的更新则是有力未逮。关于这一点,高通副总裁Chris Patrick此前就曾坦言,“对于OEM厂商来说,向每一位终端用户推送安全更新、Android版本更新是一件非常复杂的事情,而且成本也非常昂贵。”
有鉴于此,谷歌就只能推出RBUS这个妥协性质浓厚的权宜之计。据悉,RBUS的核心是谷歌的Android系统的月度更新,只针对正在被黑客主动利用或属于已知攻击链的漏洞。换而言之,只有已经被网络安全机构证实、且被黑客利用的漏洞,谷歌才会视其为迫在眉睫的威胁,而已经被发现、却没有公开披露的漏洞,权当它不存在。
没错,RBUS在某种程度上其实是“掩耳盗铃”,但它能带来的好处也摆在了台面上,那就是终端厂商每月需要处理的安全补丁数量会断崖式下降,厂商的测试与发布压力会立竿见影地减小。
可问题是这一切的代价是什么呢?对此就有网络安全专家指出,RBUS极有可能会成为Android安全形势劣化的导火索。
在RBUS这个模式下,谷歌会提前一个季度向终端厂商披露需要堵住的中低风险漏洞,可这一行为就不可避免地会带来漏洞细节外泄的风险。如今Android系统的漏洞在暗网可是明码标价的,即使是在公开网络,也有大批第三方公司在收集Android漏洞。
只要有利可图,就难保会有人铤而走险,毕竟收买谷歌安全团队的代价和收买中小型终端厂商的工作人员可不一样。
【本文图片来自网络】
