Hacker News 中文摘要

RSS订阅

GrapheneOS获取了Android安全补丁但未被允许发布源代码 -- GrapheneOS accessed Android security patches but not allowed to publish sources

原文链接 | HN讨论 | 2025-09-12 00:03:32

文章摘要

GrapheneOS已获得Android安全公告补丁的早期访问权限,能够在禁运期结束前构建和测试版本,提升发布效率。此外,他们正在争取获取主要季度和年度版本的早期访问权限,以进一步减轻工作负担。

文章总结

GrapheneOS团队近期获得了Android安全公告补丁的早期访问权限,这将使他们能够在禁运期结束前构建和测试发布版本。目前,他们仍在禁运结束后进行构建工作,但早期访问权限将有助于应对AOSP推送失败的情况。

此外,GrapheneOS正在争取获得主要季度和年度发布的早期访问权限,这将大大减轻他们在新版本发布时面临的时间压力和工作量。然而,由于未能获得Android 16 QPR1的早期访问权限,他们尚未开始移植工作,但预计在Android 16 QPR2发布前将获得相关权限。

Google近期对Android安全更新做出了重大调整,将安全补丁的发布频率从每月改为每季度,并为OEM厂商提供了3-4个月的早期访问权限。这一调整被认为是为了降低OEM厂商的门槛,但实际上却导致补丁广泛泄露,甚至可能被攻击者利用。GrapheneOS指出,现有的补丁分发系统已经存在严重问题,而将早期访问权限从1个月延长至4个月更是加剧了Android的安全风险。

尽管GrapheneOS不能主动打破禁运,但如果有人公开泄露补丁,他们将能够提前数月发布这些补丁。Google的现有系统允许OEM厂商广泛访问补丁,导致补丁容易被泄露,甚至被NSO等公司获取。GrapheneOS认为,Google的管理层显然忽视了安全团队的担忧,为了营销目的而牺牲了Android的安全性。

此外,Google在Linux内核、LLVM等项目上投入了大量资源进行安全开发,但由于裁员和招聘不足,Android的安全工作受到了影响。GrapheneOS计划通过发布仅包含补丁的特殊版本来绕过禁运,外部开发者可以通过反编译这些补丁来为常规GrapheneOS用户提供更新。

总的来说,GrapheneOS对Google的补丁分发系统表示强烈不满,认为其严重损害了Android的安全性,并计划通过特殊发布渠道来提前为用户提供安全补丁。

评论总结

评论主要围绕Google对安全补丁的延迟发布及其对Android系统安全性的影响展开。以下是主要观点和论据的总结:

  1. Google延迟发布安全补丁的问题

    • 评论2和评论3指出,Google将安全补丁延迟3-4个月发布,导致攻击者在此期间获得漏洞信息,增加了安全风险。
    • 引用:“Google is effectively giving attackers 3-4 months of advanced access to security patches.”
    • 引用:“Google embargoes security patches for four months so OEMs can push out updates more slowly.”

  2. OEM开发和补丁发布的效率问题

    • 评论4批评OEM开发效率低下,认为构建CI管道和快速测试补丁并不困难,质疑OEM为何不能更快地发布更新。
    • 引用:“There is no good reason OEMs can't be running test builds of ROMs with security patches within hours.”
    • 引用:“Makes one wonder about the state of OEM development.”

  3. GrapheneOS的潜在解决方案

    • 评论6和评论7提到GrapheneOS提出的解决方案,包括发布仅二进制更新、让社区反向工程漏洞,并在漏洞公开后发布源代码。
    • 引用:“Release binary-only updates (opt-in). Let the community reverse engineer the vulnerabilities from the binary updates.”
    • 引用:“Being open-source doesn’t matter for security, after all.”

  4. Google策略的合理性质疑

    • 评论5和评论3质疑Google的策略,认为延迟发布补丁不仅无助于安全,反而可能损害Android系统的安全声誉。
    • 引用:“What is the point in giving wind to the hackers sails while also driving home the narrative that android is a less secure system?”
    • 引用:“A lot of patches end up being leaked anyway, so the delay ends up being pointless.”

总结:评论普遍批评Google延迟发布安全补丁的策略,认为其增加了安全风险,并质疑OEM的开发效率。同时,GrapheneOS提出的解决方案被视为一种可能的替代方案,但也引发了对开源与安全关系的讨论。