去年 9 月向谷歌提交的 400 多個漏洞,一直拖到今年年底才修復完。而且還不是一般的小漏洞,是讓“市面所有活着的安卓設備變磚頭”的高危漏洞。這些漏洞由復旦大學計算機學院的一位教授楊珉與他的同事們一起整理提交。
楊珉教授公開了幾封與Android安全團隊之間的往來郵件,表示自漏洞提交到被Google修復以來,不知道收到了多少次 Delay:
嗯,就像是這樣的:
不幸的是,為了確保這個漏洞在發布前被完全解決,問題的修復被推遲了。
▲ 圖源微博 楊珉_復旦大學
楊珉教授還吐槽到,本來Google團隊是要在 2 個月內修復的,但事實是:
在不引入兼容性問題的前提下,開發一個解決該問題的修復方案所需的時間比預期的要長。
因此,Google暫定於 2021 年 11 月份發布(該問題的修復方案)。
▲ 圖源微博 楊珉_復旦大學
啊這…… 到底是什麼樣的漏洞,讓Google也犯起了拖延症?
“跨年”漏洞
根據楊珉教授自己的介紹,這 400 多個漏洞都是根據他們基於 Android 系統資源管理機制的系統性研究而發現的。
所有使用Android代碼的廠商都將受到這一漏洞的影響。
相關的研究成果已整理成論文《Exploit the Last Straw That Breaks Android Systems》,被網絡安全頂會 IEEE S&P 2022 收錄:
從文章的摘要來看,這是一種名為 Straw 的與數據儲存過程有關的設計缺陷。
這一缺陷可通過 77 個系統服務影響 474 個相關接口,並因此生成 Straw 漏洞。
而 Straw 漏洞可能導致各種臨時或永久的 DoS 攻擊,造成非常嚴重的後果,比如使用戶的Android設備永久崩潰。
楊珉教授和其同事將這一漏洞報告給Android安全團隊,Google將其評為“高嚴重級”。
之後的事情我們就知道了:Google一拖再拖,直到 16 個月之後的今年年底,終於發來了一封“問題補丁即將公布”的郵件:
▲ 圖源微博 楊珉_復旦大學
在郵件中提到,這個漏洞的 CVE ID 為 CVE-2021-0934。
不過,目前不管是 CVE 官網上,還是Android安全公告板 12 月份最新發布的安全補丁中,都還沒有關於 CVE-2021-0934 的詳細描述。
GoogleAndroid安全團隊
歷經 16 個月,高危漏洞終於被修復。不用擔心自己手裡的Android機突然變磚固然是好,但也有網友吐槽到:
Google你到底行不行啊?
說好的還要再籌建一支新的 Android 安全團隊,來進一步加速發現和修復 Bug 的過程呢?
還有 5 個月前剛剛搞的平台 Google Bug Hunters,整了一個 Bug 獵人排行榜,就是為了鼓勵更多人找 Bug:
看起來確實有不少激勵作用,Android安全團隊的致謝名單自 2018 年起就變成了按月列出。
翻開最近 12 月份的致謝名單,國人工程師還不少。
不僅有來自 360、阿里巴巴、字節跳動、清華大學的工程師,還有一些國內的個人開發者:
不過,在鼓勵開發者和白帽子們找 Bug 的同時,還是希望Google能在新的一年改掉“拖延症”吧。
參考鏈接:
[1]https://weibo.com/fdyangmin?profile_ftype=1&is_all=1#_rnd1640826065880
[2]https://secsys.fudan.edu.cn/04/3d/c26976a394301/page.htm
[3]https://source.android.com/security/bulletin?hl=zh-cn