科技媒體Android Authority近日披露,谷歌正在醞釀一項針對安卓系統(tǒng)安全更新的重大調(diào)整——推出“基于風險的安全更新系統(tǒng)”(RBUS)。該計劃旨在通過差異化更新策略,解決長期以來安卓設備因碎片化導致的安全補丁延遲問題,同時平衡廠商測試壓力與用戶防護需求。
自2015年以來,谷歌每月定期發(fā)布安卓安全公告,提前30天向設備制造商(OEM)提供私有補丁包用于測試。然而,由于安卓系統(tǒng)架構復雜、廠商定制層差異以及運營商審批流程冗長,中低端機型往往只能每2-3個月才能獲得更新,高端機型雖能實現(xiàn)月更,但廠商仍需投入大量資源進行適配。
新推出的RBUS系統(tǒng)將安全更新分為兩個層級:每月更新僅包含“正在被主動利用”或“屬于已知攻擊鏈”的高風險漏洞,其他漏洞則推遲至季度更新集中發(fā)布。谷歌強調(diào),高風險判定不單純依賴漏洞的嚴重等級,而是綜合評估其實際威脅性。例如,2025年7月的安全公告首次出現(xiàn)“零修復”情況,而9月的季度公告則一次性披露了119個漏洞。
這一調(diào)整預計將顯著減輕廠商負擔。據(jù)測算,OEM每月需處理的補丁數(shù)量可能減少60%以上,測試周期從平均14天縮短至7天。谷歌同時要求廠商至少保持季度更新頻率,并允許部分廠商根據(jù)合規(guī)要求或自身策略維持月更節(jié)奏。作為配套措施,Android系統(tǒng)底層已引入Rust內(nèi)存安全語言,Pixel設備還增加了硬件級防護模塊。
但爭議隨之而來。隱私安全項目GrapheneOS指出,季度更新補丁需提前數(shù)月向廠商披露,可能增加漏洞信息泄露風險,為攻擊者提供更長的利用窗口。更關鍵的是,谷歌不再為月度更新提供開源代碼,這使得依賴社區(qū)維護的定制ROM(如LineageOS)難以維持原有更新頻率,可能被迫轉向季度更新。
對用戶而言,影響呈現(xiàn)兩極分化。原本按月更新的設備(如Pixel系列、三星旗艦機)將保持原有體驗,而更新頻率較低的設備(尤其是千元機)雖能獲得更穩(wěn)定的季度補丁,但安全防護將更依賴集中更新。行業(yè)分析師認為,這標志著安卓生態(tài)從“追求更新速度”轉向“注重更新質(zhì)量”,但如何平衡效率與風險仍是待解難題。
