好的,我将从问题开始,然后在下面详细说明。它是:
为什么全球领先的非苹果智能手机操作系统制造商谷歌仍然没有采用直接面向用户的模式为 Android 分发安全更新,而是坚持目前明显存在严重缺陷的依赖手机制造商的方法和无线运营商快速测试、批准和分发它们?如果 Google 真的想这么做,那么将 Android 迁移到直接更新模式的技术障碍到底有多大?
因此,昨天出现了一些关于 Android 中有趣的 Stagefright 媒体播放器组件安全漏洞的坏消息。首先,同一组件中的一些新公布的缺陷似乎将受影响的 Android 手机的范围扩大到几乎所有曾经制造和销售的手机。其次,在同一个组件中显然存在更多的缺陷,这些缺陷已经向谷歌披露,并且正在准备很快公布,包括一些将被贴上“关键”标签的缺陷。我对 Android 安全场景并不十分熟悉,但这似乎是迄今为止 Android 必须处理的最重要的安全事件。
当然,在任何平台上发现可怕的漏洞总是会导致下一个问题:“我的设备什么时候会被修补?” 不幸的是,现在 Android 安全更新的工作方式——谷歌将它们推送给硬件制造商和运营商,他们必须签署并愿意将更新分发给用户——绝大多数 1十亿以上的 Android 用户只能期待以下两个答案之一:
--对于幸运的人:这将是几个月。(同样在上面链接的这份报告引用了一个估计,即从谷歌获得补丁通常需要 9 到 18 个月才能通过测试和对用户手机的各种批准。现在,人们假设使用 Stagefright 将一定要快点,但还是……)
——对于不幸的人:从不。(一些安卓制造商几乎没有为他们的手机提供任何售后更新服务。其他的似乎有一个不成文的支持期限限制,可能是一年,或者两年,之后用户就会被冷落。)
所有这些都提出了一个问题:为什么谷歌不能像为其他计算机制造操作系统的公司所做的那样——例如个人电脑和服务器——绕过原始设备制造商和服务提供商直接向用户提供安全更新?
现在,显然这可能既有技术方面的问题,也有业务方面的问题。我更多地从技术方面考虑(尽管我承认有时两者并不像人们想象的那样容易分开)。谷歌可以通过哪些方式直接发布安全更新——但不一定直接发布任何涉及修复安全漏洞之外的任何更新——导致硬件和/或软件兼容性问题,这对于用户、手机制造商、运营商和谷歌本身来说可能非常麻烦,以至于这个因素可能超过获得这些补丁的价值比他们在当前系统下可能实现的更快、更远、更广泛?还是真的像 99% 的安全新闻记者和评论员认为的那样,支持 Google 直接分发?