作者: Dave Kleidermacher, 副总裁兼 Android、 Chrome OS 及 Play 安全部门负责人
此前,我们在 Google I/O 2018 开发者大会上举办了一场名为《Android 安全新亮点》的主题演讲,简要介绍了谷歌在 Android 安全更新方面的最新工作进展。 Android 9 Pie 现已正式发布,借此机会,我们希望给大家呈现一份更加详尽的安全更新报告,内容主要涉及以下三个话题:
设备厂商最佳实践指南
Google 如何简化 Android 更新流程
Google 如何保障 Android 安全更新的合规性
>>《Android 安全新亮点》
https://events.google.com/io/schedule/?sid=fac1fbb5-85e4-448e-ad4a-4f1d34a41a25
Android 安全更新方面的最佳商业实践
《2017年度 Android 安全报告》指出 Android 在反漏洞利用技术方面处于移动行业领先地位,高强度的安全防护极大地提高了黑客入侵操作系统的技术难度和花费成本。除了技术上的把控外,我们还制定了完善的深度防御战略,以确保用户能够及时获取安全更新。我们强烈建议所有 Android 智能手机能够以每月一次的频率进行安全更新。我们每个月都会与设备厂商分享 Android 源码补丁,然后由厂商负责整合补丁并向用户推送相应固件更新。此外,我们每个月还会为 Pixel 设备推送 OTA (over-the-air) 固件更新包,并且向厂商免费开放 Google FOTA (firmware over-the-air) 固件服务器。所有加入 Android One 项目的设备也必须满足每月推送的要求。
>>《2017年度 Android 安全报告》
https://security.googleblog.com/2018/03/android-security-2017-year-in-review.html
>> 反漏洞利用技术
https://android-developers.googleblog.com/2018/06/compiler-based-security-mitigations-in.html
>> Android One 项目
https://www.android.com/one/
每月推送更新是目前最佳的做法,但是如果设备厂商无法应对每月一次的更新频率,至少需要在 《Android 安全公告》披露重大漏洞之前为用户提供更新。常见漏洞披露时间为 90 天,因此每三个月提供一次更新是确保设备和用户安全的最低要求。
最佳企业实践
产品安全是影响企业制定设备采购决策的重要因素之一。企业在选择设备时,通常会将设备的安全更新频率、政策管控灵活度以及是否支持身份认证纳入考量范围。为此,我们在今年上半年推出了 Android 企业推荐计划 (Android Enterprise Recommended Program),协助企业用户购置合适的 Android 设备。设备必须满足多项要求才能获得 “Android 企业推荐” 认证,比如,设备必须定期向用户推送安全更新:最低频率为每 90 天一次,我们强烈建议设备厂商将该频率提高至每月一次。除企业用户以外,我们也欢迎所有对安全更新和安全承诺感兴趣的消费者阅读《企业设备推荐名单》。
>> Android 企业推荐计划
https://www.android.com/enterprise/recommended/
>> 《企业设备推荐名单》
https://androidenterprisepartners.withgoogle.com/devices/
简化 Android 更新流程
我们同时也在积极制定和推进相关战略,帮助简化 Android 更新流程。其中第一关键点就是加强接口的模块性和清晰性,以便操作系统的子系统在更新时,不会对其它子系统造成影响。目前正在推进的 Treble 项目就是一个很好的例子,Treble 项目能够帮助设备更轻松、更快速地升级至 Android P,而且更新效率明显优于所有旧版本的 Android 系统。由于框架的安全更新可以独立于设备特定组件执行,因此这种模块化策略也同样适用于安全更新。
>> Treble 项目
https://source.android.com/devices/architecture/treble
>> 更轻松、更快速地升级至 Android P
https://arstechnica.com/gadgets/2018/06/talkin-treble-how-android-engineers-are-winning-the-war-on-fragmentation/
第二关键点则是将能够进行独立更新的系统服务从用户模式 (user-mode) 的应用中抽离出来。与更新基础操作系统相比,单独更新这些服务的效率更高。例如,包括安全网络组件在内的 Google Play 服务以及 Chrome 浏览器就可以像其它 Play 商店内的应用一样进行单独更新。
>> 安全网络组件
https://developer.android.google.cn/training/articles/security-gms-provider
第三关键点是推进合作伙伴项目,提高 Android 的可更新性。以 GMS Express 项目为例,我们在该项目中与系统芯片 (SoC) 合作供应商联手,共同为系统芯片参考设计提供已经完成预整合和预测试的每月Android 安全更新,此举不仅大幅降低了成本,而且加速了芯片的上市时间。
>> GMS Express 项目
https://www.mediatek.com/news-events/press-releases/mediatek-collaborates-with-google-and-its-gms-express-program-to-deliver-certified-android-software-mobile-services-to-device-makers
确保安全补丁级别合规性
近期,研究人员指出部分 Android 设备存在安全补丁遗漏的问题。我们对之前内部报告中描述不准确的部分已经进行了相应修正。我们一直致力研发出更好的安全测试系统,从而有效减少补丁合规失败的几率。近期,我们特别推出了一套新的基础测试框架,允许设备厂商在固件栈的较低层上开发和部署自动化测试,而在此之前厂商只能通过手动方式进行此类测试。而且,现在 Android 的编译审核流程会通过扫描设备镜像文件找到特定模式,以此来降低补丁遗漏的风险。
>> 修正
https://srlabs.de/bites/android_patch_gap/
进一步推进 Android 安全相关工作
在 2017 年,全球合计约有 10 亿 Android 设备进行了安全更新,比上一年度增长近 30%。我们将继续努力制定深度安全战略,打造出更好的流程和项目,从而帮助生态圈伙伴轻松应对 Android 安全更新。与此同时,我们也在积极开展相关工作,让更多生态圈伙伴能够快速采用我们的安全更新以及合规性要求。因此在接下来的几个季度内,预期会有更多 Android 设备能够定期收到安全更新推送,且数量增幅有望达到历史最高。
所有复杂的软件系统都存在漏洞,但是漏洞利用是可以避免的。我们也在一直努力减少潜在恶意漏洞利用事件,这种长期安全投入不仅不会提高,反而有助于降低安全更新的频率。虽然在目前,按月更新依旧是最理想的选择,但是相信在未来,我们能够通过更少的安全更新、更简便的流程,同样达到保障设备用户安全的目的。
点击屏末 | 阅读原文 | "我们愿意更好地倾听您的声音 "
推荐阅读
· Android Jetpack: Room | 中文教学视频
· Android Sunflower 带您玩转 Jetpack
· Android P 安全性更新