Android的“三个安全更新等级”

Dizziness2929

大家好（小声）。
今天要给大家说的是Android的“安全更新等级”。

相信大家在看谷歌文档中的说明（台下观众：谷歌技术文档是什么我布吉岛啊？）时看到了这么一段有趣的东西：


怎么你Android系统更新还要带上一堆硬件厂商的更新？.png

没错！Android的安全更新分为以下三种：

1.Android操作系统更新。

2.供应商设备安全更新。

3.Google Play组件安全更新（也叫Project Mainline更新）。

而这三种更新的分发渠道和供应者都是不一样的：

1.Android操作系统更新由AOSP（Android开放源代码计划）社区直接提供：这是对Android操作系统自身的更新。

2.供应商设备安全更新来自于高通、联发科、紫光展锐之类的硬件厂商：这部分更新是驱动程序/设备固件更新，用于修正硬件错误和硬件安全漏洞，高通之类的厂商会把这些更新以保密渠道发送到你的手机制造商，由她们分发更新。

3.Google Play系统更新，或者说Project Mainline安全更新来自于谷歌：谷歌将关键的系统组件拆分为模块，当谷歌意识到问题存在时，就可以直接通过Google Play商店进行安全更新而无需厂商介入。

（PS：国行手机没有Project Mainline支持，原因你懂的）

因此，不要只看你的手机的“安全更新等级”没有落后三个月的更新就算安全了——因为上述的安全更新细分，很多厂商只是单纯的把操作系统更新了，完全没有更新供应商固件/设备驱动，这导致你的手机依旧是有安全漏洞的（并且更要命）。

那么如果我的手机因为一些神秘的原因，比如不小心丢到马桶里之后她变成非国行了，Project Mainline更新怎么看呢？

在这里：



参考资料：
让 Android Q 强制重启的 Project Mainline，到底是什么？-腾讯云开发者社区-腾讯云 (tencent.com)
Android 安全公告和更新公告  |  Android 开源项目  |  Android Open Source Project (google.cn)

metaverse

了解了，问题是，消费者没办法自己更新

Dizziness2929

metaverse 发表于 2024-5-7 08:41
了解了，问题是，消费者没办法自己更新

实际上PC平台也是类似的，没有上游开发者（例如微软公司）的话，你自己也无法更新你的设备。

Android平台的安全更新变成严重问题，和谷歌当初的发展策略不无关系：谷歌希望通过开源和开放的策略吸引各种厂商参与其中，进而扩张自己的影响力。

然而，这种操作导致了严重的碎片化，即使是后来的Project Mainline和Project Treble，都没能改变如此碎片化的生态系统——安全更新需要通过设备制造商（小米、华为、谷歌、三星……）、芯片制造商（高通、联发科、紫光展锐……）、系统供应商（谷歌、MIUI、EMUI……）三道手续，才能交付到用户环节，任何一个环节不作为不配合用户都无法得到安全。

PC平台也在遇到类似的灾难：碎片化的Windows和几千几万种Linux/BSD分支、各种各样的主板厂商和固件（BIOS厂商）、各种各样的硬件厂商……总而言之，PC也好不到哪去，但是因为这论坛里的人大部分都只是关心Windows操作系统，所以没感觉出来这个碎片化有多严重。

ANY.LNK

Dizziness2929 发表于 2024-5-9 08:57
实际上PC平台也是类似的，没有上游开发者（例如微软公司）的话，你自己也无法更新你的设备。

Android ...

其实，这种碎片化我日常使用中还是有所体会的……目前在用的几台设备有些光是安全更新版本就还停留在6、7年前，厂商也迟迟不下发更新

Dizziness2929

ANY.LNK 发表于 2024-5-10 10:06
其实，这种碎片化我日常使用中还是有所体会的……目前在用的几台设备有些光是安全更新版本就还停留在6、7 ...

好多设备也叫”报废设备“，这里不是一般认知中的”报废“，而是”厂商已经不再维护这款产品，并且可能已从市场停止售卖“。

为什么说”可能“？因为很多设备是”出厂就报废“，只提供三个月或者几天的安全更新，然后就不再维护这款产品。

在市场上，”出厂即报废“的情况特别多。

ANY.LNK

Dizziness2929 发表于 2024-5-10 10:43
好多设备也叫”报废设备“，这里不是一般认知中的”报废“，而是”厂商已经不再维护这款产品 ...

嗯，感谢解答

不过我这边的还是能收到更新，大概几个月会有一次，但是不提供Android系统的安全更新，更新内容基本上都是系统软件

00006666

Dizziness2929 发表于 2024-5-9 08:57
实际上PC平台也是类似的，没有上游开发者（例如微软公司）的话，你自己也无法更新你的设备。

Android ...

windows的设备驱动更新是设备厂商自己分发的，跟上游开发者没什么关系，windows自带的设备更新还往往导致出问题，一般都给它关了。

Dizziness2929

00006666 发表于 2024-5-10 11:35
windows的设备驱动更新是设备厂商自己分发的，跟上游开发者没什么关系，windows自带的设备更新还往往导致 ...

上游开发者也包括”设备厂商“，所以我才说”例如微软“。

Hedron

ANY.LNK 发表于 2024-5-10 10:53
嗯，感谢解答

不过我这边的还是能收到更新，大概几个月会有一次，但是不提供Android系统的安全更新， ...

不更新 Android 安全补丁 / 不更新内核版本
只更新系统软件 基本上都是加广告 增加没用的逻辑 让旧设备加速退役罢了...