Google官方商店的应用也不能过于信任，因为搜索巨人的应用审查流程是自动化的，容易被网络罪犯发现漏洞利用。安全研究人员报告了本周第二例恶意应用藏身Google Play商店的事件，但这一次应用被下载的次数不是很多。安全公司 Check Point Software报告了被称为 Charger 的勒索软件，一旦安装，勒索软件会窃取短信联络人信息，提示用户授予管理权限，一旦用户点击确定，恶意应用将会锁定设备展示勒索信息，要求支付0.2BTC（相当于180美元）的赎金。研究人员还发现，恶意应用会检测被感染设备的位置，如果设备位于乌克兰、白俄罗斯和俄罗斯，那么应用将不会执行恶意负荷，研究人员猜测应用的开发者试图避免在这些国家面临法律诉讼。

Android恶意程序HummingWhale利用奇虎手机助手团队开发的插件DroidPlugin实现虚拟机功能悄悄在用户设备上安装应用。HummingWhale的传播方法不是通过第三方应用商店，而是隐身于官方应用商店 Google Play，它的大约20款恶意应用被200万到1200万毫无防备的用户下载。这一事件显示，即使官方商店的应用也不能完全信任。Google在接到安全研究人员的通知后已经将恶意应用移除。HummingWhale主要通过两种方法产生收入：展示广告和自动安装应用。它将应用安装在虚拟机里，创建假的ID获取应用推荐收入。安装在虚拟机里的好处是安装时不需要用户批准权限，此外虚拟机还可以隐藏其恶意活动，让它还可以在被感染设备上安装无限的应用。HummingWhale还被观察到能自动生成好评掩盖差评。

去年9月，三星在全世界宣布召回电池存在缺陷的Galaxy Note 7。在4个月后，该公司表示手机召回率达到了96%。对于未召回的潜在具有爆炸风险的手机，三星上个月曾表示将推送OTA更新关闭Galaxy Note 7的充电能力。因为Galaxy Note 7的爆炸风险，主要航空监管机构都将这款手机列入禁飞名单，现在美国联邦航空管理局称运输部通知了航空公司终止飞行前的有关禁止携带Galaxy Note 7手机的警告。

获得诺基亚品牌授权的芬兰公司HMD Global在CES上宣布了第一款诺基亚品牌的Android智能手机Nokia 6，这款手机将由京东独家销售，旨在吸引中国消费者。Nokia 6采用5.5英寸显示屏、分辨率1920 x 1080、康宁第三代Gorilla Glass 403 ，骁龙 430 八核处理器，RAM 4GB、ROM 64GB，电池3000mAh（不可拆卸），前置800万像素后置1600万像素摄像头，操作系统是Android 7.0。HMD在声明中称，在中国市场发售诺基亚品牌Android手机是因为中国是最大的智能手机市场，具有重要的战略价值，而中国的消费者高度重视产品的高端设计（premium design）和价值。Nokia 6将售价1699元。

根据聚合CVE数据的 CVE Details网站的报告，Google的Android是2016年漏洞发现最多的产品，安全研究人员共报告了523个安全漏洞，其次是 Debian (319个bug), Ubuntu (278个bug)，Adobe Flash Player (266)，openSUSE Leap (259)， openSUSE (228 ), Adobe Acrobat DC (227 )，Adobe Acrobat Reader DC (227 )， Adobe Acrobat (224)和Linux Kernel (216)。产品漏洞最多的软件供应商的“荣誉”则属于甲骨文，共报告了798个bug，其次是Google (698)，Adobe (548)，微软(492)，Novell (394)，IBM (382)，思科(353 )，苹果(324)，Debian(320)，以及 Canonical (280)。

朝鲜也有Android平板电脑，但朝鲜的平板更像是来自《1984》。在本周举行的在第33届混沌计算机俱乐部黑客大会（33C3）上，研究人员披露了被称为Woolim的白色Android平板，它设计限制违禁媒体的传播，跟踪用户和充当宣传平台。Woolim由中国公司翰智制造，但朝鲜政府移除了部分组件，其中包括WIFI和蓝牙，安装了定制的软件。Woolim平板是一家韩国非政府组织提供给研究人员的，它是为朝鲜设计的多款平板中的一款，但时间比较新。这款平板内置了大量的宣传PDF文档，能播放本国电视和连接朝鲜局域网，它还安装了大量的教育应用，如法语、俄语和中文字典，以及教儿童打字的应用，以及定制过的游戏如愤怒的小鸟。平板只允许使用或播放特定文件，用户不能在设备上加载他们想要加载的任意文件。Woolim还在持续监视用户，每当用户打开一个应用，平板都会截图，这些屏幕截图可以在其它应用中查看，但无法删除。

Cyanogen 上周宣布关闭所有服务，Android 发行版 CyanogenMod 背后的开发团队则另立门户，改名为LineageOS。随着 Cyanogen 的死亡，Google 对 Android 生态系统的控制比以往任何时候更严密。Cyanogen 从来不是 Google控制 Android 的严重威胁，但它的死亡仍然代表着Google的一大胜利。Cyanogen或主要通过其资助的开源发行版CyanogenMod 代表了Android的开放精神，为Android基础系统增加了定制性和新功能，而Google为了控制和防止Android的碎片化而将越来越的功能从开源系统 AOSP(Android Open Source Project)中剥离出去，在Google的保护伞下推出越来越多的闭源应用。Google还制定了规则对制造商进行控制。

Cyanogen 公司宣布在12月31日关闭所有服务和 Cyanogen 支持的 CyanogenMod 构建设施。CyanogenMod 是 Android 的开源发行版，它的源代码仍然是开放的。社区开发者宣布创建CyanogenMod的分支 Lineage OS，源代码托管在Github上。Lineage OS项目表示将在CyanogenMod的遗产上继续前进。但目前不清楚Lineage在没有外部资金支持的情况下能支撑多久。

cuthead 写道 "Cyanogen说：在元旦Cyanogen就没了，除了大部分人都看不懂的源代码还在，以后该怎么办？Cyanogen在7月解雇了20%的职员，在11月Cyanogen失去了核心人员Steve Kondik，Kondik说不想干了，Kondik同一天又说想干点别的，现在没人知道他在干什么，大家关心的是谁继续开发Cyanogen.Cyanogen又说，Cyanogen死了，CM的变种还会再生。"

Android 用户常常有下面的经历：下载了一个Android应用，发现该应用索要了所有手机功能和用户数据的访问权限。这一问题相当普遍，甚至Android开源应用市场 F-Droid也存在应用索要过多权限的情况，比如一款扫雷想要能记录音频和视频。如何发现尊重用户隐私的Android 应用？Opensource.com报道了两个只要求最低权限的开源应用项目：Privacy Friendly Apps 和 Simple Mobile Tools，两个项目开发的应用虽然不多，但都能满足用户的基本需求，涵盖了游戏、二维码扫描、笔记、To-Do List、照明、天气、文件管理、日历、照相等常用功能。所有应用都是开源的，源代码常用GPLv3 或 Apache 2.0 许可证，托管在GitHub上。

Android生态系统频繁曝出安全问题，而引起安全问题的应用许多都是通过第三方应用市场传播的。网络罪犯很容易将恶意应用伪装成合法应用在第三方商店传播。《连线》的一篇报道援引安全专家的话称，用户不应该从第三方Android 市场下载应用。文章将亚马逊的应用商店列为例外，作者可能没听说过还有自由开源软件应用商店F-Droid。SecureWorks的研究员James Bettke说，他强烈推荐从官方来源下载应用，Google Play建立了信任，你能信任某些供应商或个人制作的应用，而在第三方应用商店你不知道下载的究竟是什么。

Tor 开发者 Mike Perry 在加固版 Android 发行版 Copperhead OS 的技术上发布了 Tor手机原型（安装指南发布在Github上），演示构建一款尊重用户选择和自由、大幅减少攻击面的安全手机是可能的。Tor手机原型使用防火墙 OrWall 经过 Tor 路由流量，屏蔽所有其他流量，但可以为 Signal 等端对端加密的语音消息应用添加例外。原型只能工作在 Google Nexus 和 Pixel 等少数硬件上，Perry 称， Google 对 Android 作为一个完整开源平台的“敌意”日益增加。苹果的 iOS 被认为比 Android更安全，但 Perry 相信 Android 的安全性会不断改进，而闭源的系统如苹果的 iOS 比开源系统更容易被迫部署软件后门。为了解决 Android 的安全问题，Google 采取的方法伤害了用户自由，这一趋势令人不安。

在上海广升之后，安全研究人员通过监视手机的流量，发现另一家叫锐嘉科集团有限公司的上海公司也在Android固件中植入后门，受影响的智能手机多达数百万部。 在广升后门曝光之后，Anubis Networks的研究人员购买了一部BLU Studio G廉价手机进行测试，通过捕捉网络流量，他们发现了锐嘉科的后门。锐嘉科的问题存在三个方面：OTA更新系统不加密，容易被中间人攻击，中间人可以伪造更新服务器响应向用户设备发送恶意指令；开发者试图隐藏更新进程；硬编码了三个OTA更新服务器域名，研究人员发现时只有一个域名被注册，如果恶意攻击者注意到的话后果难以想象，研究人员注册了另外两个预配置的域名观察有多少智能手机存在该后门，他们发现了超过280万部智能手机，其主要品牌包括 BLU、Infinix Mobility、DOOGEE、LEAGOO、IKU Mobile、Beeline和 XOLO等（如图所示）。比广升固件后门好一点的是，该后门目前没有发现收集用户私人数据。

提供固件云更新服务（FOTA）的上海广升信息技术有限公司被发现在固件中植入了后门，将用户大量的私人信息发送到其服务器上。该公司声称是失误，不小心将为中国市场开发的监控系统/后门安装到了在美国销售的产品中。对于中国用户来说，这就带来了一个极其严重和敏感的问题：我的手机是否内置了广升的软件，它是否在收集私人信息？根据其官网的广告（如图所示），它在全世界有7亿激活用户，那么它在中国有多少激活用户？广升就后门一事在英文声明（中文没有）中宣称，为了确保提供正确的更新和服务，它需要收集手机型号信息、设备状态、应用信息、bin/xbin信息、手机和消息的概要信息，利用这些信息验证合适的更新和服务发送到正确的设备上。它声称被外界称为后门的功能是应中国客户要求开发用于识别垃圾短信和广告骚扰电话。至于它的声明是否可信另当别论。我们所关心的是我们随身携带的手机是否含有广升的服务。简单的方法是监控流量，判断设备是否访问了广升的域名如bigdata.adups.com和ebootv5.adsunflower.com（该域名可用于发送提权指令）。还有一种方法是识别广升的客户，如果你是苹果手机用户，你不用担心，广升的客户主要是Android厂商。消费者报告正在调查有多少Android手机使用了广升的固件更新服务：Blu受影响的产品包括R1 HD、Energy X Plus 2、Studio Touch、Advance 4.0 L2、Neo XL和 Energy Diamond；Google称它的Nexus 和Pixel手机没有使用广升的固件，但无法提供其它 Android手机的信息；中兴称它在美国销售的机型没有使用广升的固件，华为称它与广升没有任何形式的业务往来；LG称它的手机没有受到影响，OnePlus 和 HTC表示正在调查。安全公司Trail of Bits的CEO称，从中国审查者的角度看，这个功能不是bug而是特性。

安全公司 Kryptowire 从美国销售的低端 Android 手机固件中发现了一个后门，会将用户的大量私人信息发送到提供固件的中国公司服务器上，发送的数据包括了手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等。提供固件的上海广升信息技术有限公司声称是失误，否认为中国政府收集情报，声称它是一家私人公司。上海广升自称它的软件运行在全球超过7亿台设备上，包括手机、平板和车载娱乐系统，它的软件被华为和中兴的手机使用，也用于美国亚马逊和百思买售价50美元的BLU R1 HD廉价Android智能手机。广升声称软件的监视功能是为中国市场设计的，以帮助中国手机制造商监视用户行为，不小心包含在美国销售的BLU设备中。后门包含在固件的OTA更新软件中，它以JSON格式向广升的大数据服务器发送数据，这些服务器的域名包括了 bigdata.adups.com、bigdata.adsunflower.com、bigdata.adfuture.cn和bigdata.advmob.cn。BLU表示，其12万部手机受到影响，公司已更新了软件，删除了这个功能。《纽约时报》报道称，这个问题显示了处在整个技术供应链中的公司如何能够在制造商或用户知情或不知情的情况下损害隐私。它也让人看到了中国公司——进而延伸到中国政府——可以监视手机的一种方式。多年来，中国政府一直在使用各种方法来过滤和跟踪互联网的使用，监视在线对话。政府要求在中国经营的技术公司遵守严格的规则。据广升提供的文件，这款软件是根据一个未指明的中国制造商的要求编写的，该制造商希望软件有存储通话记录、短信消息和其他数据的能力。广升说，中国公司使用这些数据提供客户支持。美国国土安全部发言人Marsha Catron说，国土安全部“最近获悉了Kryptowire发现的问题，正在与我们的公共和私营部门合作伙伴一起确定适当的缓解策略。”

香港中文大学的三名研究人员在Black Hat EU报告（PDF）发现了OAuth 2.0单点登录第三方移动应用实现的漏洞，允许攻击者通过恶意应用或网络中间人监听的方式在受害者不知情下远程劫持用户帐户。研究人员研究了三大身份提供商新浪、Facebook和Google的OAuth 2.0 API，这些身份提供商的注册用户数超过了8亿、15亿和25亿，它们被广泛用于第三方移动应用的单点登录。研究人员检查了200个最受欢迎的中国移动应用和400个最受欢迎的美国的移动应用，发现支持新浪账号登录的中国应用有约70%账号易被劫持，相比之下Facebook是15.25%，Google是8%。存在漏洞的移动应用下载量超过24亿，如图所示，大部分存在漏洞的移动应用使用的是新浪的单点登录，研究人员没有公布应用的名字，只是透露了这些移动应用的类型和下载量，通过这些信息还是有可能大概猜测出哪些应用存在漏洞。

Google否认了欧盟对其滥用Android在移动市场支配地位的指控。欧盟反垄断监管机构指控Google利用Android的垄断迫使厂商安装Google服务，同时排斥竞争对手。Google否认Android伤害了竞争，并比较了竞争对手在自家的设备上预装的应用：苹果在iPhone 7上预装的39个应用都来自苹果，微软Lumia 550预装的47个应用有39个来自微软。Google首席法律顾问Kent Walker称，Android生态系统仔细平衡了用户、软件开发商、硬件制造商、网络运营商的利益，它并未伤害竞争，而是扩大了竞争。如果对Google的反垄断指控成立，那么搜索/广告巨人将面临最高10%收入的罚款——相当于74亿美元。

随着USB-C在旗舰Android设备上的普及，快速充电技术日益成为一项标准功能。这里的标准指的是每个人都在做，并非指它是标准技术。Google也在自有品牌的Pixel设备上加入了它自己的快充技术，但搜索巨人并不热衷于让任何人都实现自己的一套快充版本。在刚刚发布的Android 7.0的兼容性定义文档中，Google强烈推荐Type-C设备不要采用第三方的私有快充技术，比如高通的Quick Charge或联发科的Pump Express。Google称这些私有技术修改Vbus电压到默认水平之上，或改变sink/source，可能导致充电器或设备的互操作性问题。目前这还只是强烈推荐，也许Google未来会提出更为强制性的要求。

Google公布了Android  7.0的兼容性定义文档，文档的一个引人注意地方是有关Android Extensions的描述，Google形容此举是为了确保API在相同的版本上。今天的Android 设备提供了两个API源： 开源的AOSP (Android Open Source Project) API和闭源的Google API，包含在 Google Play Services中。Google Play Services是一个很容易更新的APK文件，而更新AOSP API则需要更新整个系统，众所周知很少有OEM厂商提供Android系统更新，这是导致Android生态系统碎片化的原因之一。Android Extensions很可能是Google用于简化API更新的一种策略，它在开源的AOSP系统加入了类似Google Play Services的可更新APK，使得更新API不再需要更新整个系统。

Android用户还需要等待一个月才能修复上个月披露的Dirty Cow提权漏洞。Dirty Cow内核漏洞被认为是内核至今曝出的最严重提权漏洞，影响所有Android版本，它非常容易被利用，可被用于Root任何Android 设备。但刚刚发布的11月安全更新没有包含修复Dirty Cow漏洞的补丁。该漏洞已被用于恶意的攻击Linux服务器，让不受信任的用户获得root权限。而Dirty Cow也正被Android用户用于root设备。