众所周知,如今的智能手机市场早已不像多年前那般“百花齐放”。在激烈的竞争格局下,手握优势资源的各大厂不仅仅是“脱颖而出”,甚至是直接“干掉了”数以万计的竞争对手,使得市场演变成了如今少数寡头贴身对决的局面。
当然,我们并不是说曾经消失的手机品牌有多值得怀念,毕竟,无论是从产品成本控制、功能开发,还是从销售和售后渠道等各方面来说,现如今的大厂都有着不可忽视的优势。譬如说某些成本高昂的新技术和硬件,如果没有财力充足的大厂积极推动,可能根本就不会出现在市面上。又比如说在手机系统的体验方面,这些企业不仅有能力自行开发更加美观的UI(用户界面)和功能,有时候还会有一些深入系统底层甚至是内核的独家优化。
等等!这些“独家优化”真的意味着更好的用户体验吗?至少谷歌内部专门负责发现软件严重安全漏洞的Project Zero团队并不这么认为。就在近日有消息显示,他们向三星方面发出了一份安全警告,也顺带揭开了智能手机业界大厂“为所欲为”的现实。
这些人是在2019年负责维护Linux内核的顶级程序员们
简单来说,对于像Android这样的开源操作系统来说,它的代码其实是全世界许许多多程序员共同努力的智慧结晶。但是这些程序员的“级别”,或者说他们所做的工作的重要性显然不是一致的。有部分人专注于开发Linux内核,编写与优化系统最核心的那些代码,或是给他们打安全补丁,这就是所谓的“上游开发者”。而诸如智能手机企业内部的开发团队,他们本来的工作应该是在已经成型的开源系统代码上,加上自己所需的外围功能、包括界面和程序等以形成最终可用的固件,也就是所谓的“下游开发者”。
但有的时候,当下游程序员不知会上游开发者就随意“优mo化gai”系统底层代码时,他们的水平其实可能并不足以完全看懂那些堆积和迭代了许久的代码。而这时候问题就会出现了,手机厂商沾沾自喜的“优化”,结果或将反而会破坏原有的系统内核功能,衍生出更多的BUG、甚至是造成原本的安全补丁失效,给用户隐私和数据安全带来危险。
比如说谷歌此次之所以要找上三星,就是因为他们旗下一款中端机型Galaxy A50“魔改版”的内核中,被发现使用了不规范、且没有提交给上游内核开发者审阅的驱动程序。结果造成Android内核中一个专门用来防止应用程序非法访问硬件设备的安全措施失效。用三星后来在自家安全公示网站上的话来说,这一未经上游检查、擅自添加的驱动,直接导致了一个“可能执行任何代码”的糟糕漏洞。但好在三星方面及时发现了问题,并已经于今年2月的系统更新中修复了这一问题。
三星还算认错态度好,改正速度快,但其他厂商呢?
然而,正如Google Project Zero研究员Jann Horn所表示的那样,在整个智能手机行业中,喜欢瞒着上游开发者“魔改”系统的厂商,可并不只是三星一家。事实上这种既侵犯他人劳动成果、也存在严重安全隐患的行为在手机企业中并不少见。以至于Google Project Zero不得不把三星此次的事件作为一个典型例子,来告诫其他的手机厂商应该使用官方公布的、安全的应用程序接口和内核功能,或者至少在往系统内核里添加代码前,能够征询一下内核的原始开发者。
当然,有的朋友看到这里可能会说,手机厂商修改代码不通知上游程序员也有他们的道理呀,因为每家都想要有自己的独家功能,谁希望自家的硬件驱动或优化代码被别人掌握呢?
的确,我们三易生活不否认手机厂商这样做,大概率是出于维护自身知识产权或者商业保密的目的,但一方面来说,手机厂商的技术人员是否就一定能确保完全看懂上游内核作者的代码,是否就一定能保证自己“偷偷添加”的功能不出错呢?这显然很值得怀疑。其次,“独家优化”也好、不想公开的硬件驱动也罢,如果它们的添加会破坏系统原本就具备的安全特性,反而造成最终的安全性和稳定性下降,那这样的“优化”是否值得,又是否是真的是对消费者利益负责呢?
最后,我们觉得有必要提到的一点是,在PC领域所有的新架构处理器或显卡芯片,在上市前是一定会首先提交硬件驱动代码给Linux内核开发者测试和审阅的,同时也注定会在新版Linux的内核代码里留下痕迹——难道这些厂商就不怕泄露新品信息了吗?
本文来自投稿,不代表天一生活立场,如若转载,请注明出处:http://tiyigo.com/it/37271.html
