理應是最優先應該帶給使用者的重大「零日漏洞(zero-day vulnerability)」修補的更新項目,也遇到了「非 Pixel」手機使用者,必須要晚很久等到 Android 15 大更新才能補上的狀況發生。繼續閱讀 Google 重大漏洞修補疑似獨厚 Pixel 手機做法引爭議(其他使用者目前只能苦等 Android 15 更新…)報導內文。
Google 重大漏洞修補疑似獨厚 Pixel 手機做法引爭議(其他使用者目前只能苦等 Android 15 更新…)
不知道讓 Pixel 手機能夠搶先用到很多最新甚至是獨占 Android 新功能的「Pixel Feature Drop」乃至於超快就能收到新的 Android 大版號更新,是不是大家選擇 Google 親生子手機的主要原因?
然而這樣的差異,最近居然就連理應是最優先應該帶給使用者的重大「零日漏洞(zero-day vulnerability)」修補的更新項目,也遇到了「非 Pixel」手機使用者,必須要晚很久等到 Android 15 大更新才能補上的狀況。倒是毫不意外的引起了一些討論。
四月時,由 GrapheneOS 所揭露並回報給 Google 的 Android 系統漏洞,在近兩次 Pixel 手機的例行以及 Pixel Feature Drop 更新中,基本獲得了解決。
雖然感覺 Google 已經很積極處理這種被定位為「高嚴重性」的漏洞狀況。不過 GrapheneOS 指出,由於其他 Android 品牌基本上目前是必須透過每年一次的 Android Open Source Project(AOSP)更新來處理這次的漏洞狀況。
因此基本上等同於是讓所有非 Pixel 手機的使用者,只能在其他品牌準備好 Android 15 更新給使用者前,暴露在這次所揭露漏洞的資安危機之中。
這次的 CVE-2024-32896 與 CVE-2024-29748 漏洞情況,主要是對應修正鑑識公司為獲取資料所利用的漏洞修補。其中包含了針對 Fast boot 模式下未能清除記憶體導致可能被利用的漏洞,還有 AOSP 的 Admin API 需要重開才能清除的問題。
雖然從漏洞的描述看不太出來有多危險。但從這樣的系統漏洞在 Google 釋出更新之後,基本上都是建議使用者即刻更新的狀況看來,相信即便是對於資安相關知識壓根不太懂的 麻瓜 如我們(抱歉拖大家下水),應該都能很快理解這問題的嚴重性。也能看出為什麼會有人擔心,必須等到 Android 15 更新是多麼誇張的事。
畢竟如果是 Pixel 手機用戶也就算了 – 因為至少會是第一時間就可以升級。對於其他三方的品牌來講,基本上都會因為需要準備客製系統等原因而會拖上更久。這部份當然可以說是因為這些手機品牌不能像 Pixel 手機那樣會收到每季甚至是每月的 Android 例行更新。
但也有人提出,認為以這樣的狀況來說應該可以考慮以後移裝(Backporting)等可以更快補上漏洞的方式,盡可能讓現有使用者不受已知重大漏洞的威脅。
只希望在資安專家與媒體提出這樣的疑慮後,Google 及 Android OEM 品牌能夠儘快拿出更積極的修正途徑了。
引用來源|