HardenedLinux 写道 "Android的恶意软件通过漏洞利用获取root权限并不是新鲜事，HummingBad, Godless和 Hellfire的曝光让用户知道了这个黑暗领域的冰山一角。Android的生态链条本身的特性导致了碎片化以及很难让所有的Android手机厂商都能够及时的修复安全漏洞并且向用户推送安全补丁，中国是一个没有Google的Android生态圈更是如此。近期，从事开源安全咨询工作的citypw在HardenedLinux的github上开源了一个基于Android内核3.4的加固原型，里面包含了一些弱化的PaX特性，Linux内核或者AOSP内核已经接受的代码级加固。过去一年多中，这个"弱化"的加固版本在不打补丁的情况下成功防御大部分针对Linux内核的公开漏洞利用代码以及恶意软件使用的漏洞利用，这个加固版本自从2014年1月至今只需要修复CVE-2014-3153，因为这个“弱化”的加固版中不包含KERNEXEC/UDEREF特性或者等价的实现。使用Android 3.4/3.10内核的机器非常多，希望这个原型能让用户和厂商意识到加入更多的防御机制是保护大量Android设备的唯一途径。另外，这个“弱化”的加固版Android内核的威胁假设是大规模使用的质量相对较低的漏洞利用，斯拉夫兵工厂的weaponized exploit不在这个版本的威胁模型中。"

官方下载量超过5000万的流行 Root 管理工具 SuperSU 被开发者 Chainfire 出售给了一家中国公司 CCMT，CCMT 现在接管了 Chainfire 的账号开始更新应用，释出了最新版本2.78 。此事引发了对应用安全性的担忧，许多人建议卸载最新版本或重新安装 Chainfire开发的旧版本。SuperSU 的官网 supersu.com被发现也是在一家中国域名注册商注册的。

Google开始推送Android 7.0 Nougat，但如果你注意的话，它只向发布时间不到一年的设备推送更新。主要Android  OEM厂商的情况也是如此。为什么发布时间1年以上的Android设备无法更新到Nougat？实际上这些设备是能够更新的，你可以怪Google、设备制造商和芯片供应商，三者都有责任。其中最大的障碍是芯片供应商高通公司没有为Snapdragon 800 或801等旧芯片提供Nougat支持，高通芯片统治了中高端市场， 不支持旧芯片影响了众多厂商的系统更新。但高通对此给出的理由是客户也就是OEM厂商没有提出更新要求。一个恶性循环因此形成：厂商通常不更新发布一年以上的设备，芯片供应商也不想自寻烦恼去支持一年以上的旧芯片集，于是厂商如果想更新的话也无法更新了。在Nougat中，Google修改了兼容性测试，但由于没有更新相关文档，新测试具体要求未知，但推测它可能增加了硬件需求，导致使用Snapdragon 800 或801的设备无法通过测试，从而使得更新情况变得更混乱。

在向支持的Nexus设备推送 Android 7.0 Nougat更新的同时，Google开始公布相对应的Nexus设备Nougat镜像。用户可以选择下载完整的系统镜像，但安装该镜像将会抹掉系统中保存的用户数据。或者用户也可以选择下载和安装 OTA更新文件，它不会导致数据丢失，这是Google首次直接向用户提供OTA文件下载。Google目前提供了Nexus 9 Wi-Fi 版、Pixel C和Nexus Player的镜像和OTA文件，其它会陆续更新。

为了避免支付专利费，联想与微软达成协议，将在联想品牌和摩托罗拉品牌的Android设备上预装微软应用，其中包括Microsoft Office、Skype和OneDrive。过去几年，微软利用其持有的专利与众多的Android设备制造商达成了专利授权协议，从每售出的一部Android设备上获取5到15美元的专利费。

Google 开始逐步向 Nexus 6、9、5X、6P、Pixel C 、Nexus Player、General Mobile 4G (Android One 手机) 推送 Android 7.0 Nougat，其它旧的型号将停留在上一代的 Android 6，这意味着在发布三年之后 Google 准备终止对 Nexus 5 和 2013 Nexus 7的支持。Nexus 5用户也许可以等待即将发布的新Nexus手机，但 Nexus 7用户目前看起来没有相应的替代产品了。Android 7.0的新特性包括了多窗口支持，应用可调整大小，在最近使用的两个应用之间快速切换，新的通知功能，用户可以定制快速设置，新的Unicode 9 emoji，无缝更新，等等。详细可阅读Ars的评测。

小米计划在不久的将来进军美国智能手机手机市场。负责国际业务的小米副总裁 Hugo Barra 在接受采访时表示，小米无法再忽视美国这个以收入计算的全球最大智能手机市场。中国是最大的智能手机市场，但美国的营收更高。小米在中国的市场份额正被竞争对手吞食，它目前的市场占有率排在第四位，重振手机业务的希望寄托在海外扩张上。目前小米最大的海外市场是印度，Barra称小米在印度的业务同比增长了72%。小米最近从微软收购了1500项专利，这笔交易被认为旨在减少海外扩张面临的知识产权纠纷。

根据市场分析公司 IDC第二季度的数据，小米手机的手机出货量同比下降了将近700万，从去年的1710万跌至1050万。它的市场份额也跌至第四位，次于华为、OPPO 和 Vivo 。华为第二季度出货1910万部，OPPO 1800万部，Vivo 1470万部，分别占据了 17.2%，16.2%，13.2%的份额，小米的份额从去年同期的16.1%跌至9.5%。小米认为IDC的数据有误，其它分析公司给出的出货量数据更高：IHS的数据是1420万， Strategy Analytics是1280万。

在Google Android统治的印度智能手机市场，名叫 Indus OS的操作系统在短短三年内超过 iOS 成为印度第二大移动平台。 Indus OS占据了5.1%的智能手机市场份额，iOS占3%，Windows 在 1%-2%之间。 Indus统治的是一个大的竞争对手失败或未充分认识到的市场：不会说英语、负担不起过高价格的农村用户。 Indus OS是基于Android，兼容于Android应用，支持印度的当地语言，它捆绑的应用商店App Bazaar包含了3万个应用，大部分都支持两种以上的当地语言。

使用高通芯片的 Android 手机和平板发现了4个漏洞可能允许攻击者完整控制设备。这一组漏洞被称为 Quadrooter(PDF)， 影响的设备数量可能超过9亿。受影响的设备包括了 Google 的 Nexus 5X、Nexus 6 和 Nexus 6P，三星的 Galaxy S7 和 S7 Edge，以及自称最安全的Android手机黑莓 DTEK50。要利用 Quadrooter 漏洞，攻击者需要诱骗用户安装不需要特殊权限的恶意应用。如果成功利用了漏洞，攻击者将能获取到 root 权限，完整控制设备，包括数据和照相机麦克风等硬件。Google发言人证实要到9月份才能大范围推送修复漏洞的补丁。

三星发布了支持虹膜识别的新旗舰手机Galaxy Note 7，它本质上是 Galaxy S7的放大版。Galaxy Note 系列的上一个版本是2015年的 Galaxy Note 5，三星跳过Galaxy Note 6是为了与Galaxy S系列产品保持同步。它最吸引人眼球的地方是将科幻电影里的虹膜扫描大众化，三星称用户眨一下眼就能解锁设备或访问较为敏感的内容，整个过程虽然快但在方便上不如指纹识别——你需要启动手机滑动屏幕对准眼睛。在经历了持续两年的利润下滑和市场份额流失的困难时期后，三星寻求重振其手机业务。通过在8月初向消费者推出Galaxy Note 7，三星电子较竞争对手苹果获得了比以往更大的先发优势。Galaxy Note 7配备了 5.7 英寸 2560x1440 AMOLED 显示屏， 4GB内存——低于中国公司一加OnePlus 3的6GB，Snapdragon 820 处理器，1200万像素摄像头，64GB ROM， 3500mAh不可移除电池，将于8月19日开始发售，零售价可能高达880美元。

去年7月，安全研究人员披露了被称为 Stagefright 的Android Bug，漏洞存在于处理媒体格式的代码库内，它允许攻击者利用特制的彩信控制目标手机，整个过程不需要机主操作。安全研究人员初步估计有多达10亿的设备受到该漏洞的影响。修复该漏洞的过程比预想的更复杂，Google过去一年释出了多达115个补丁去修正 Stagefright 及相关媒体库中的bug。率先发现 Stagefright Bug 的研究员 Joshua Drake 也没想到修复需要花费一年时间，需要投入如此多的努力。鉴于Android 碎片的生态系统，可能有大量的 Android 设备没有打上补丁。Drake 相信利用该漏洞可以对未修复的设备发动针对性的攻击。

当警方、消防队或救护车需要响应一个紧急电话，呼叫者的精确位置对于他们能及时抵达提供援助至关重要。Google在Android系统引入了一项新功能，能在用户呼叫紧急服务时自动向他们发送用户的精确位置。这项功能利用 Wi-Fi、GPS 和手机塔信息确定用户位置，数据的发送不需要用户的干预。许多人认为这项功能不应该自动发送而应该先得到用户的同意或由用户控制是否发送。

黑莓发现自己制造的第一款Android智能手机BlackBerry Priv太昂贵了（700美元），该公司的第二款Android智能手机BlackBerry DTEK50以TCL 阿尔卡特 Idol 4为基础，搭配以黑莓的软件，售价则是很平民的299美元。手机运行Android 6.0 Marshmallow，目前已在部分国家开放预购，将于8月8日上市。DTEK50的硬件配置与Idol 4基本一致： 5.2英寸1080p显示屏 (424 PPI)，8核1.5GHz Snapdragon 617处理器，3GB内存，16GB ROM支持SD卡扩展， 2610 mAh电池，1300万像素后置800万象素前置摄像头，仍然使用旧的MicroUSB接口。两者的主要区别是DTEK50的处理器频率更高（1.7GHz vs 1.5GHz)。

摩托罗拉以难度太大为由不再每月为手机推送安全更新。这家联想旗下的公司发表声明，称该公司理解更新Android安全补丁对客户的重要性，他们努力让安全补丁尽可能快的推送给用户。然而，因为在部署补丁前需要大量的测试和批准，以每月为基础向该公司的所有设备推送安全更新是很困难的。摩托罗拉的手机最终会获得安全更新，但不会是在每月释出。

Cyanogen公司和 CyanogenMod （简写CM）的创始人 Steve Kondik 通过官方博客发表声明澄清围绕社区Mod和公司的不实报道。上周末媒体援引消息来源报道称，Cyanogen公司裁掉了参与CM 开发的数十名雇员，计划将注意力从操作系统开发转向应用开发。Kondik 否认了这一报道，称 Cyanogen 公司会继续资助CM，将继续在开发方面扮演一个活跃的角色。他否认会将精力转向应用搁置CM，但没有对此进行细说，只是表示以后会公布更多信息。

Android Police 援引多个消息来源报道，Cyanogen 公司看起来陷入了困境，它裁掉了约30名员工，占到员工总数的20%（136名），裁员将严重影响到开源 Android 发行版 CyanogenMod，该公司可能彻底退出 CyanogenMod 的开发，社区可以继续开发 CyanogenMod，但许多核心开发者不再能得到 Cyanogen 的资助了。Cyanogen 是一家营利性公司，成立不过三年时间，它的商业发行版 Cyanogen OS 是基于CyanogenMod，加入了一些私有组件，其中包括微软的应用——微软是该公司的投资人和合作伙伴。Android Police称，Cyanogen的开发重心将从操作系统转移到应用。

印度有一个蓬勃发展的智能手机市场，Peter-Paul Koch对印度公司制造的手机进行研究发现，在某些方面印度的Android手机比中国还奇怪。以默认浏览器为例：Lava V2的默认浏览器是Google Chrome 51（最新版），Micromax Canvas Nitro 3的默认浏览器是Chromium 39，Intex Agua Super是Opera Mini 11（最新版是17）。对Micromax使用的Chromium 39进一步分析发现，它实际上使用的是 WebView/Chromium 39。而Lava和Intex的手机实际上也安装了Chromium 39。他发现，应用菜单中隐藏的默认浏览器也是Chromium 39。手机制造商提供基于Chrome的默认浏览器很正常，但不把Home屏中的默认浏览器设置为自己提供的浏览器，那么提供定制浏览器还有什么意义？

使用高通芯片的Android设备存在多个漏洞，攻击者很容易从锁定的设备中提取出加密密钥，然后用超级电脑或其它专门设备进行暴力破解。Google和高通发表声明称漏洞已经修复，但研究人员估计，37%的Android企业用户没有打上补丁。漏洞存在于高通ARM处理器的安全功能TrustZone中，以色列独立安全研究人员Gal Beniamini已经释出了漏洞利用代码，利用TrustZone的两个漏洞（编号CVE-2015-6639 和CVE-2016-2431）提取出磁盘加密密钥。漏洞补丁已经释出，但Beniamini指出，已经修复的Android设备可以回滚到未修复状态。高通发言人声称，该公司的平台支持反回滚机制，能阻止设备安装旧的软件版本。

Google的下一代Android操作系统被称为Android N，但我们并不知道N代表什么。现在，Google正式宣布了N的意思——牛轧糖（Nougat）。Android操作系统都以糖果为名，之前发布的几个版本的名字分别叫豆豆糖（Jelly Bean），奇巧巧克力（与雀巢合作）、棒棒糖（Lollipop） 和棉花糖（Marshmallow）。Android N将在今年晚些时候发布，新的特性包括多窗口支持、改进电池效率和通知功能，等等。