谷歌欲出手解决手机系统更新难题，RBUS利弊几何？

10-01 06:30

不少用户常常会发出疑问：“为什么手机隔三差五就会弹出系统更新提示？”为了避免频繁的系统更新打扰用户，谷歌可能要采取行动了。近日有消息称，谷歌正计划为Android系统引入“基于风险的安全更新系统”（RBUS）。

RBUS的核心目标是改变Android的安全更新机制。月度更新将仅包含高风险漏洞，其余中低风险漏洞则推迟到季度更新解决，这意味着Android的安全策略将迎来十年来最大的一次转变。

早在2015年的拉斯维加斯世界黑帽大会上，谷歌就宣布每月发布Android系统安全更新Android Security Bulletin，以降低Android设备被攻击的风险。例如本月初，谷歌推出了AOSP系统13 - 16版本的安全更新，累计修复84个漏洞，其中包括两项已被黑客积极利用的零日漏洞CVE - 2025 - 38352和CVE - 2025 - 48543。

实际上，从谷歌的Android开发者网站可以看出，该公司持续更新安全补丁是过去十年Android在支持侧载的情况下，安全性不断提高的关键。

虽然谷歌的Android月度安全更新策略让用户设备更可靠，但负面影响也不容忽视。在智能手机成为人类“新器官”的当下，很多人希望24小时开机，频繁推送系统更新导致手机强制关机，会让一些用户不满。

从某种意义上说，Android用户被过度保护，忘记了网络危机四伏，安全是奢侈品。但消费者是上帝，谷歌无法苛求用户理解其苦心。所以谷歌引入RBUS、改变安全更新策略，减少月度安全更新内容，能减轻对用户的打扰。

当然，安抚用户可能只是谷歌推出RBUS的次要目的，其真正目的是降低OEM合作伙伴的压力，促使Android手机厂商重视系统安全更新。早在2018年，谷歌就发现许多终端厂商漠视安全更新，很多手机厂商未及时向用户推送，这是Android生态恶意软件泛滥的关键。

为此，2019年1月31日起，谷歌强制Android设备制造商为用户推送安全更新，确保设备不受过去90天内发现的安全漏洞影响。但即便谷歌掌握GMS认证这一“杀器”，面对终端厂商的“非暴力不合作”也无可奈何。

实际上，系统更新一直是Android生态的痛点。与封闭的苹果iOS不同，Android生态中有谷歌、高通、联发科等芯片厂商以及众多Android设备厂商。过多的SKU导致系统更新适配难度极大，很多Android设备厂商选择只为旗舰产品及时推送更新。

终端厂商的阳奉阴违迫使谷歌通过技术手段解决问题。如Android 8新增的Project Treble将硬件驱动与系统分离，让终端厂商可单独推送系统更新，无需重新适配驱动；Android 10引入的Project Mainline将系统功能模块化，让上游供应商能更细化地提供功能更新。

但Project Treble和Project Mainline只能解决Android系统碎片化问题，让终端厂商愿意为老设备推送大版本系统更新，对频繁推送的安全补丁却无能为力。高通副总裁Chris Patrick曾坦言，“对于OEM厂商来说，向每一位终端用户推送安全更新、Android版本更新是一件非常复杂的事情，而且成本也非常昂贵。”