不少用戶常常會發(fā)出疑問：“為什么手機(jī)隔三差五就會彈出系統(tǒng)更新提示？”為了避免頻繁的系統(tǒng)更新打擾用戶，谷歌可能要采取行動了。近日有消息稱，谷歌正計劃為Android系統(tǒng)引入“基于風(fēng)險的安全更新系統(tǒng)”（RBUS）。

RBUS的核心目標(biāo)是改變Android的安全更新機(jī)制。月度更新將僅包含高風(fēng)險漏洞，其余中低風(fēng)險漏洞則推遲到季度更新解決，這意味著Android的安全策略將迎來十年來最大的一次轉(zhuǎn)變。

早在2015年的拉斯維加斯世界黑帽大會上，谷歌就宣布每月發(fā)布Android系統(tǒng)安全更新Android Security Bulletin，以降低Android設(shè)備被攻擊的風(fēng)險。例如本月初，谷歌推出了AOSP系統(tǒng)13 - 16版本的安全更新，累計修復(fù)84個漏洞，其中包括兩項已被黑客積極利用的零日漏洞CVE - 2025 - 38352和CVE - 2025 - 48543。

實(shí)際上，從谷歌的Android開發(fā)者網(wǎng)站可以看出，該公司持續(xù)更新安全補(bǔ)丁是過去十年Android在支持側(cè)載的情況下，安全性不斷提高的關(guān)鍵。

雖然谷歌的Android月度安全更新策略讓用戶設(shè)備更可靠，但負(fù)面影響也不容忽視。在智能手機(jī)成為人類“新器官”的當(dāng)下，很多人希望24小時開機(jī)，頻繁推送系統(tǒng)更新導(dǎo)致手機(jī)強(qiáng)制關(guān)機(jī)，會讓一些用戶不滿。

從某種意義上說，Android用戶被過度保護(hù)，忘記了網(wǎng)絡(luò)危機(jī)四伏，安全是奢侈品。但消費(fèi)者是上帝，谷歌無法苛求用戶理解其苦心。所以谷歌引入RBUS、改變安全更新策略，減少月度安全更新內(nèi)容，能減輕對用戶的打擾。

當(dāng)然，安撫用戶可能只是谷歌推出RBUS的次要目的，其真正目的是降低OEM合作伙伴的壓力，促使Android手機(jī)廠商重視系統(tǒng)安全更新。早在2018年，谷歌就發(fā)現(xiàn)許多終端廠商漠視安全更新，很多手機(jī)廠商未及時向用戶推送，這是Android生態(tài)惡意軟件泛濫的關(guān)鍵。

為此，2019年1月31日起，谷歌強(qiáng)制Android設(shè)備制造商為用戶推送安全更新，確保設(shè)備不受過去90天內(nèi)發(fā)現(xiàn)的安全漏洞影響。但即便谷歌掌握GMS認(rèn)證這一“殺器”，面對終端廠商的“非暴力不合作”也無可奈何。

實(shí)際上，系統(tǒng)更新一直是Android生態(tài)的痛點(diǎn)。與封閉的蘋果iOS不同，Android生態(tài)中有谷歌、高通、聯(lián)發(fā)科等芯片廠商以及眾多Android設(shè)備廠商。過多的SKU導(dǎo)致系統(tǒng)更新適配難度極大，很多Android設(shè)備廠商選擇只為旗艦產(chǎn)品及時推送更新。

終端廠商的陽奉陰違迫使谷歌通過技術(shù)手段解決問題。如Android 8新增的Project Treble將硬件驅(qū)動與系統(tǒng)分離，讓終端廠商可單獨(dú)推送系統(tǒng)更新，無需重新適配驅(qū)動；Android 10引入的Project Mainline將系統(tǒng)功能模塊化，讓上游供應(yīng)商能更細(xì)化地提供功能更新。

但Project Treble和Project Mainline只能解決Android系統(tǒng)碎片化問題，讓終端廠商愿意為老設(shè)備推送大版本系統(tǒng)更新，對頻繁推送的安全補(bǔ)丁卻無能為力。高通副總裁Chris Patrick曾坦言，“對于OEM廠商來說，向每一位終端用戶推送安全更新、Android版本更新是一件非常復(fù)雜的事情，而且成本也非常昂貴?！?/p>

因此，谷歌推出了RBUS這一妥協(xié)性質(zhì)濃厚的權(quán)宜之計。據(jù)悉，RBUS的核心是讓谷歌的Android系統(tǒng)月度更新只針對正在被黑客主動利用或?qū)儆谝阎翩湹穆┒?。也就是說，只有被網(wǎng)絡(luò)安全機(jī)構(gòu)證實(shí)且被黑客利用的漏洞，谷歌才會視為緊迫威脅，已發(fā)現(xiàn)但未公開披露的漏洞則被忽視。

沒錯，RBUS在某種程度上是“掩耳盜鈴”，但好處也很明顯，終端廠商每月需要處理的安全補(bǔ)丁數(shù)量會大幅下降，測試與發(fā)布壓力會顯著減小。

但問題是，這樣做的代價是什么呢？有網(wǎng)絡(luò)安全專家指出，RBUS極有可能成為Android安全形勢惡化的導(dǎo)火索。

在RBUS模式下，谷歌會提前一個季度向終端廠商披露中低風(fēng)險漏洞，這不可避免地會帶來漏洞細(xì)節(jié)外泄的風(fēng)險。如今Android系統(tǒng)的漏洞在暗網(wǎng)有明碼標(biāo)價，公開網(wǎng)絡(luò)也有大批第三方公司收集Android漏洞。

只要有利可圖，就難保有人鋌而走險，畢竟收買谷歌安全團(tuán)隊和收買中小型終端廠商工作人員的代價不同。

本文來自微信公眾號“三易生活”（ID：IT - 3eLife），作者：三易菌，36氪經(jīng)授權(quán)發(fā)布。

本文僅代表作者觀點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請在文中注明來源及作者名字。

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請及時與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com