在系统安全性上,安卓一直和iOS差距颇大,我们随便找来一份调查报告就能看到安卓厂商一大串的“不合格”,甚至不久前还爆出不少厂商在安全补丁推送中作假的丑闻。看到安卓生态如此混乱,谷歌自然也是无法忍受,在这次I/O大会上,谷歌安全部门主管Dave Kleidermacher表示将强制OEM厂商提供安全补丁。
Dave Kleidermacher称,谷歌已经修改了和OEM(指华为、三星、小米等第三方厂商)合作伙伴的协议,提供常规的安全补丁就是其中重要的一项,未来这些厂商将有义务定期发布补丁,而这将会使更多用户和设备定期收到安全补丁。
此前,谷歌一直以大约一个月一次的频率更新安全补丁,但是不少安卓厂商并没有进行跟进,据 SecurityLab 的调查,绝大多数安卓设备从爆出漏洞到收到更新都需要数月时间,甚至 HTC、一加等品牌连旗舰机都要等好几个月,从一片血红的评分完全能体现安卓手机糟糕的安全性。
更有甚者,外媒《连线》表示很多厂商会漏掉补丁,小米、一加和诺基亚平均漏掉1到3个补丁,华为、HTC、LG和摩托罗拉平均漏掉3到4个。甚至还有一些甚至会给用户推送一个“安全补丁”,但其实只是把上一次的更新包改了改更新日期,这显然是一种欺诈。
据安全公司RSA的调查,只有47%的公司或组织会在获知漏洞后立刻采取修补措施,有多达26%的公司会无视一些重大安全漏洞,因为他们没时间修复;16%的公司表示自己没有能力修复这些问题。所以在以前,不少安卓厂商会向谷歌提交申请,希望能够不对某些漏洞进行修复,而是直接将和漏洞有关的功能关停,这种方法显然省时省力,但谷歌以后不会同意这种申请了。
甚至这种申请一般还都是大厂才会提交,不少小厂商压根就不会和谷歌有任何交流,因为他们并不在GMS(Google Mobile Services)协议和安卓伙伴项目(Android Partner Program)之中,安卓的开源特性在这里成了一把双刃剑。
