10月13日,科技媒体Winaero爆料称,谷歌近期调整了Android系统的安全更新机制,特别是在漏洞信息披露方面做出了重大改变,这直接影响开发者社区和安全研究员的知情权。
专注于隐私保护的第三方Android系统GrapheneOS最新发布报告指出,谷歌在10月份的安全公告中破天荒地未披露任何漏洞详情。这个数据令人吃惊,因为在9月份的安全公告中,谷歌还详细列出了114个已修复漏洞的完整清单。

▲ 石墨烯 OS GrapheneOS揭示新规细节
GrapheneOS团队透露,谷歌现采取封闭式分发策略:所有安全补丁仅通过保密渠道提供给OEM厂商。想要获取补丁的厂商必须签署严格的保密协议,协议重点条款包括:
• 自收到补丁之日起90天内严禁公开源代码
• 封禁期内仅允许发布修复后的二进制版本
值得注意的是,虽然这些补丁代码仍遵循Apache开源协议,但三个月的保密期实质上暂时限制了代码的自由传播。谷歌解释称此举旨在"加强整体安全性",呼应了"隐晦式安全"(Security through obscurity)的安全理念。

为应对新政,GrapheneOS团队已与一家不愿透露名称的OEM厂商建立战略合作,确保能在保密期内及时获得关键安全更新。
