听说 Android 手机已经和 iPhone 一样安全了，真的是这样吗？

主页（http://www.175shouji.com）：听说 Android 手机已经和 iPhone 一样安全了，真的是这样吗？

谷歌在 Android 安全性上的三管齐下

一般我们认为，版本号越高越好，如前文所述尤其是 Android 8 Oreo 引入了加强的安全特性；不过不同厂商在系统固件方面的投入存在差别，所以有些厂商可能并不能很及时地进行大版本迭代我们认为也是一定程度可接受的，但系统的安全补丁日期理应为最新。

值得一提的是，从安全的角度来说，有些手机可能并不进行系统的大版本迭代，但厂商依然为其更新安全补丁；比如某款手机长期采用 Android 7 系统，它虽然不升级 8.0，但每个月也能收到 7.0 的常规安全补丁——这在下文我们针对更多手机的统计中也会提到。这从安全的角度来说是可接受的，这一点并没有反映到上面的图中。不过作者表示，有研究人员进行了更细粒度的数据统计，结果发现，进行安全补丁更新的情况也并不对这份数据结果造成多大影响。

[1]Just One Photo Can Silently Hack Millions Of Androids - Forbes

[12]Android Security Updates - Samsung Mobile Security

就当前各品牌时下最热门的机型来看，除了 Smartisan 和魅族的主推机型仍在采用 Android 7 系统之外，其他各家都用上了最新的 Android 8。加上近两个月正是新机发布热潮，一波新机已经可以升级最新的 Android 8.1 也就不足为奇了。

为了进一步做探讨，这里特别选择魅族，挑选魅族在售的 9 款机型，查看其最新版 Flyme OS 的 Android 系统版本。这更便于了解国产机型当前某些品牌内部整体对于安全的重视程度。结果其实并不令人意外，魅族全系机型都没有升级到最新的 Android 8；好在尚有 3 款机型应用了今年 2 月的 Android 安全补丁，但也不是最新。还有一些机型的补丁版本停留在去年 11 月 1 日或 5 日——即这些机型并没有针对 KRACK 攻击打补丁（11 月 6 日补丁）。其安全性是值得担忧的。

[20]How out of date are Android devices? - Dan Luu

实际上，谷歌为了扩展漏洞奖励计划的范围，去年还把该项目扩展到了 Google Play——即不光是谷歌自家的系统和应用，针对 Google Play 商店内上架的第三方热门应用，谷歌也提供漏洞奖励；针对 Chrome 浏览器还有额外的奖励项目。除此之外，谷歌还很积极地参与到全球各地的安全盛会中，并支援不少安全项目，如安全行业最有名一年一度的 Black Hat 大会上，谷歌就是常客；还很积极地参与 Pwn2Own 这样的安全技术竞赛。

[3]2017 中国高级持续性威胁（APT）研究报告 - FreeBuf

上述即为“三管齐下”的第一管——除了找白帽来一起挖洞，谷歌自己还有个著名的 Project Zero 团队。这支队伍由谷歌内部顶尖的安全工程师组成，旨在发现、追踪和修复各种软件的安全漏洞，还自称这是个“梦之队”。Project Zero 真正声（chou）名（ming）远（zhao）播（zhu）的原因似乎并不在他们发现自家产品的漏洞，而在于这支队伍经常挖掘别家公司产品的安全漏洞，比如前一阵 Intel 处理器著名的 Meltdown 和 Spectre 攻击方式就是他们以及几所高校的研究人员一起发现的。

[9]心脏出血 - Wikipedia

[5]Top 50 products having highest number of cve security vulnerabilities in 2017 - CVE