为了缓解Android系统的安全威胁，谷歌会不断强化新版本系统的抵御漏洞的能力，比如从Android 7.0开始就引入了隐私敏感权限动态管理功能，在一定程度上增强了用户手机隐私的安全性。然而，Android手机的最大特色就是碎片化，只有少数老机型可以实现从Android 6.x到Android 7.x的跨版本升级，这意味着绝大多数老款手机都无法享受最新版本的Android系统编制的安全网。

Android 8.x是最新的系统版本

所以，谷歌还准备了一个亡羊补牢的后招，那就是每个月都会发布Android系统安全补丁，供OEM厂商通过OTA升级推送给购买自家设备的消费者。没办法，国产Android手机的系统都不是原生Android，都是屏蔽了谷歌服务的深度定制化版本，只能通过手机厂商的系统更新方式为设备打上最新的安全补丁。

举个例子，曾经闹得沸沸扬扬的Meltdown（熔断）和Spectre（幽灵）漏洞，就被谷歌打包进了“Android安全补丁日期2018年1月1日”这个版本，大家可以进入手机的“系统设置→关于手机→Android安全补丁程序级别”，如果这个选项对应的日期是2018年1月1月或比其更新，才代表不怕Meltdown和Spectre的威胁。

满嘴跑火车的手机厂商

为了Android系统的安全，谷歌可谓是操碎了心，可惜并非所有手机厂商都买谷歌的帐。在4月初阿姆斯特丹举办的Hack in the Box安全大会上，来自安全研究实验室（SRL）的研究者Karsten Nohl和Jakob Lell曝光了一个惊人的结果：研究人员查看了近两年的数百款Android手机系统代码，其中绝大多数都存在安全隐患，缺少“一大堆”安全补丁的手机并不少见。

谷歌“亲儿子”Pixel 2系列手机

据悉，除了谷歌自家旗舰Pixel和Pixel 2按部就班地更新了所有的安全补丁，其他手机厂商，无论是三星、索尼这些国际品牌，还是华为、小米、一加、TCL等国产手机，全部存在漏掉谷歌提供的安全补丁的情况。而最令人感到震惊的是，部分手机厂商甚至故意歪曲事实，他们只是在推送时候改了个更新日期，压根儿就没有打补丁！

研究人员Nohl认为，这种假装打补丁的问题是最要命的，他们告诉用户有，但其实没有，从而产生了一种虚假的安全感，这些漏洞一旦被黑客盯上还是会“非死即伤”。

对Android手机安全补丁的修复问题，SRL专门制作了表格，其将制造商分为三个类别，评判标准就是它们2017年（10月及之后收到至少一个安全推送）修补漏洞的诚实指数。

从中可见，表现最好的是谷歌、索尼、三星和WIKO（深圳天珑移动控股的,在法国注册的生产手机的法国品牌）；小米、一加和诺基亚则排在第二梯队；表现最差的则是中兴和TCL，他们都宣称完成了4次以上的安全更新，但其实是说了假话。

补丁之“锅”谁来背

就Android手机没有按时按量打补丁的问题，这个“锅”打底该谁来背，还是得具体问题具体分析，不能一棒子打死所有人。

Android系统的一些漏洞涉及到硬件，比如BlueBorne漏洞会攻击蓝牙协议、KRACK是看准了Wi-Fi WPA2中的漏洞，想修复它们和包括Meltdown和Spectre在内的很多漏洞，都需要与硬件供应商（如高通、联发科、三星、麒麟、博通、德州仪器等）合作，视该漏洞涉及诸如Wi-Fi、蓝牙、CPU或电源管理等硬件组件而定。

问题来了，这些涉及到硬件的漏洞，作为手机厂商的研发人员是无能为力的，需要相关硬件供应商给出解决方案之后，手机厂商再结合自家的产品和系统进行修复，最后通过OTA加以解决。如果硬件供应商的修复节奏慢了，自然也会影响到手机端的修复节奏。