查看: 3590|回复: 8
收起左侧

[讨论] Android的“三个安全更新等级”

[复制链接]
Dizziness2929
发表于 2024-5-7 06:52:43 | 显示全部楼层 |阅读模式
本帖最后由 Dizziness2929 于 2024-5-7 06:54 编辑

大家好(小声)。
今天要给大家说的是Android的“安全更新等级”。

相信大家在看谷歌文档中的说明(台下观众:谷歌技术文档是什么我布吉岛啊?)时看到了这么一段有趣的东西:

20240507064113.png
怎么你Android系统更新还要带上一堆硬件厂商的更新?.png

没错!Android的安全更新分为以下三种:

1.Android操作系统更新。

2.供应商设备安全更新。

3.Google Play组件安全更新(也叫Project Mainline更新)。

而这三种更新的分发渠道和供应者都是不一样的:

1.Android操作系统更新由AOSP(Android开放源代码计划)社区直接提供:这是对Android操作系统自身的更新

2.供应商设备安全更新来自于高通、联发科、紫光展锐之类的硬件厂商:这部分更新是驱动程序/设备固件更新,用于修正硬件错误和硬件安全漏洞,高通之类的厂商会把这些更新以保密渠道发送到你的手机制造商,由她们分发更新

3.Google Play系统更新,或者说Project Mainline安全更新来自于谷歌:谷歌将关键的系统组件拆分为模块,当谷歌意识到问题存在时,就可以直接通过Google Play商店进行安全更新而无需厂商介入。

(PS:国行手机没有Project Mainline支持,原因你懂的)

因此,不要只看你的手机的“安全更新等级”没有落后三个月的更新就算安全了——因为上述的安全更新细分,很多厂商只是单纯的把操作系统更新了,完全没有更新供应商固件/设备驱动,这导致你的手机依旧是有安全漏洞的(并且更要命)

那么如果我的手机因为一些神秘的原因,比如不小心丢到马桶里之后她变成非国行了,Project Mainline更新怎么看呢?

在这里:

6AA9423E267E45B4E59492B7EA6087D6.jpg

参考资料:
让 Android Q 强制重启的 Project Mainline,到底是什么?-腾讯云开发者社区-腾讯云 (tencent.com)
Android 安全公告和更新公告  |  Android 开源项目  |  Android Open Source Project (google.cn)
metaverse
发表于 2024-5-7 08:41:47 | 显示全部楼层
了解了,问题是,消费者没办法自己更新
Dizziness2929
 楼主| 发表于 2024-5-9 08:57:15 | 显示全部楼层
metaverse 发表于 2024-5-7 08:41
了解了,问题是,消费者没办法自己更新

实际上PC平台也是类似的,没有上游开发者(例如微软公司)的话,你自己也无法更新你的设备。

Android平台的安全更新变成严重问题,和谷歌当初的发展策略不无关系:谷歌希望通过开源和开放的策略吸引各种厂商参与其中,进而扩张自己的影响力。

然而,这种操作导致了严重的碎片化,即使是后来的Project Mainline和Project Treble,都没能改变如此碎片化的生态系统——安全更新需要通过设备制造商(小米、华为、谷歌、三星……)、芯片制造商(高通、联发科、紫光展锐……)、系统供应商(谷歌、MIUI、EMUI……)三道手续,才能交付到用户环节,任何一个环节不作为不配合用户都无法得到安全。

PC平台也在遇到类似的灾难:碎片化的Windows和几千几万种Linux/BSD分支、各种各样的主板厂商和固件(BIOS厂商)、各种各样的硬件厂商……总而言之,PC也好不到哪去,但是因为这论坛里的人大部分都只是关心Windows操作系统,所以没感觉出来这个碎片化有多严重。

ANY.LNK
发表于 2024-5-10 10:06:14 | 显示全部楼层
Dizziness2929 发表于 2024-5-9 08:57
实际上PC平台也是类似的,没有上游开发者(例如微软公司)的话,你自己也无法更新你的设备。

Android ...

其实,这种碎片化我日常使用中还是有所体会的……目前在用的几台设备有些光是安全更新版本就还停留在6、7年前,厂商也迟迟不下发更新
Dizziness2929
 楼主| 发表于 2024-5-10 10:43:32 | 显示全部楼层
ANY.LNK 发表于 2024-5-10 10:06
其实,这种碎片化我日常使用中还是有所体会的……目前在用的几台设备有些光是安全更新版本就还停留在6、7 ...



好多设备也叫”报废设备“,这里不是一般认知中的”报废“,而是”厂商已经不再维护这款产品,并且可能已从市场停止售卖“。

为什么说”可能“?因为很多设备是”出厂就报废“,只提供三个月或者几天的安全更新,然后就不再维护这款产品。

在市场上,”出厂即报废“的情况特别多。
ANY.LNK
发表于 2024-5-10 10:53:28 | 显示全部楼层
Dizziness2929 发表于 2024-5-10 10:43
好多设备也叫”报废设备“,这里不是一般认知中的”报废“,而是”厂商已经不再维护这款产品 ...

嗯,感谢解答

不过我这边的还是能收到更新,大概几个月会有一次,但是不提供Android系统的安全更新,更新内容基本上都是系统软件
00006666
发表于 2024-5-10 11:35:32 | 显示全部楼层
Dizziness2929 发表于 2024-5-9 08:57
实际上PC平台也是类似的,没有上游开发者(例如微软公司)的话,你自己也无法更新你的设备。

Android ...

windows的设备驱动更新是设备厂商自己分发的,跟上游开发者没什么关系,windows自带的设备更新还往往导致出问题,一般都给它关了。
Dizziness2929
 楼主| 发表于 2024-5-10 12:24:07 | 显示全部楼层
00006666 发表于 2024-5-10 11:35
windows的设备驱动更新是设备厂商自己分发的,跟上游开发者没什么关系,windows自带的设备更新还往往导致 ...

上游开发者也包括”设备厂商“,所以我才说”例如微软“。
Hedron
发表于 2024-5-20 14:18:45 | 显示全部楼层
ANY.LNK 发表于 2024-5-10 10:53
嗯,感谢解答

不过我这边的还是能收到更新,大概几个月会有一次,但是不提供Android系统的安全更新, ...

不更新 Android 安全补丁 / 不更新内核版本
只更新系统软件 基本上都是加广告 增加没用的逻辑 让旧设备加速退役罢了...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 00:14 , Processed in 0.137403 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表