科技媒體Android Authority近日披露,谷歌正醞釀對安卓系統(tǒng)安全更新機制進行重大調(diào)整,計劃推出“基于風險的安全更新系統(tǒng)”(RBUS),通過差異化更新策略優(yōu)化漏洞修復效率。這一變動旨在應(yīng)對安卓生態(tài)長期存在的更新延遲問題,尤其惠及中低端設(shè)備用戶。
現(xiàn)行機制下,谷歌每月發(fā)布安全公告并提前30天向設(shè)備制造商(OEM)提供私有補丁包,以便測試整合。然而由于安卓系統(tǒng)架構(gòu)復雜,疊加OEM定制層與運營商審批流程,多數(shù)設(shè)備尤其是中低端機型僅能實現(xiàn)每2-3個月更新一次。統(tǒng)計顯示,過去十年間發(fā)布的120份月度公告中,漏洞修復覆蓋面始終受限于生態(tài)碎片化。
新推出的RBUS系統(tǒng)將更新頻率與漏洞風險等級深度綁定。每月更新將專注修復兩類高危漏洞:正在被主動利用的漏洞,以及構(gòu)成已知攻擊鏈關(guān)鍵節(jié)點的漏洞。其余中低風險漏洞則集中至季度更新發(fā)布。這種分級策略使OEM每月需處理的補丁數(shù)量大幅減少,測試壓力與發(fā)布成本隨之降低。
風險評估標準發(fā)生實質(zhì)性轉(zhuǎn)變。谷歌不再單純依賴CVSS評分體系中的“嚴重”或“高”級標簽,而是綜合考量漏洞的實際利用可能性與攻擊面廣度。例如2025年7月的月度公告首次出現(xiàn)“零修復”情況,打破十年慣例;而9月季度公告則集中披露119個漏洞,顯示修復資源正向高威脅漏洞傾斜。
谷歌同步強化系統(tǒng)底層防護,在Android與Pixel設(shè)備中優(yōu)先部署Rust等內(nèi)存安全編程語言,并引入硬件級安全機制。但隱私安全項目GrapheneOS指出,季度更新提前數(shù)月向OEM披露可能增加漏洞信息泄露風險,且谷歌停止為月度更新提供開源代碼,導致多數(shù)定制ROM開發(fā)者難以維持原有更新節(jié)奏。
對用戶端的影響呈現(xiàn)差異化特征。已實現(xiàn)月度更新的設(shè)備將保持原有體驗,而更新周期較長的設(shè)備則可能獲得更穩(wěn)定的季度補丁推送。行業(yè)分析認為,該策略在提升整體安全效率的同時,也使安全防護更依賴季度集中更新,生態(tài)參與者需在響應(yīng)速度與風險控制間尋求新平衡。
