博雯 發自 凹非寺
量子位 報道 | 公眾號 QbitAI
就離譜!
去年9月向谷歌提交的400多個漏洞,一直拖到今年年底才修復完。
而且還不是一般的小漏洞,是讓「市面所有活著的安卓設備變磚頭」的高危漏洞!
這些漏洞由復旦大學計算機學院的一位教授楊珉與他的同事們一起整理提交。
楊珉教授公開了幾封與安卓安全團隊之間的往來郵件,表示自漏洞提交到被谷歌修復以來,不知道收到了多少次Delay:
嗯,就像是這樣的:
不幸的是,為了確保這個漏洞在發佈前被完全解決,問題的修復被推遲了。
△圖源微博 楊珉_復旦大學
楊珉教授還吐槽到,本來谷歌團隊是要在2個月內修復的,但事實是:
在不引入兼容性問題的前提下,開發一個解決該問題的修復方案所需的時間比預期的要長。
因此,谷歌暫定於2021年11月份發佈(該問題的修復方案)。
△圖源微博 楊珉_復旦大學
啊這……到底是什麼樣的漏洞,讓谷歌也犯起了拖延症?
「跨年」漏洞
根據楊珉教授自己的介紹,這400多個漏洞都是根據他們基於Android系統資源管理機制的系統性研究而發現的。
所有使用安卓程式碼的廠商都將受到這一漏洞的影響。
相關的研究成果已整理成論文《Exploit the Last Straw That Breaks Android Systems》,被網路安全頂會IEEE S&P 2022收錄:
從文章的摘要來看,這是一種名為Straw的與資料儲存過程有關的設計缺陷。
這一缺陷可通過77個系統服務影響474個相關接口,並因此生成Straw漏洞。
而Straw漏洞可能導致各種臨時或永久的DoS攻擊,造成非常嚴重的後果,比如使使用者的安卓設備永久崩潰。
楊珉教授和其同事將這一漏洞報告給安卓安全團隊,谷歌將其評為「高嚴重級」。
之後的事情我們就知道了:谷歌一拖再拖,直到16個月之後的今年年底,終於發來了一封「問題補丁即將公佈」的郵件:
△圖源微博 楊珉_復旦大學
在郵件中提到,這個漏洞的CVE ID為CVE-2021-0934。
不過,目前不管是CVE官網上,還是安卓安全公告板12月份最新發布的安全補丁中,都還沒有關於CVE-2021-0934的詳細描述。
谷歌安卓安全團隊
歷經16個月,高危漏洞終於被修復。不用擔心自己手裡的安卓機突然變磚固然是好,但也有網友吐槽到:
谷歌你到底行不行啊?
說好的還要再籌建一支新的Android安全團隊,來進一步加速發現和修復Bug的過程呢?
還有5個月前剛剛搞的平臺Google Bug Hunters,整了一個Bug獵人排行榜,就是為了鼓勵更多人找Bug:
看起來確實有不少激勵作用,安卓安全團隊的致謝名單自2018年起就變成了按月列出。
翻開最近12月份的致謝名單,國人工程師還不少。
不僅有來自360、阿里巴巴、字節跳動、清華大學的工程師,還有一些國內的個人開發者:
不過,在鼓勵開發者和白帽子們找Bug的同時,還是希望谷歌能在新的一年改掉「拖延症」吧
。
參考連結:
[1]https://weibo.com/fdyangmin?profile_ftype=1&is_all=1#_rnd1640826065880
[2]https://secsys.fudan.edu.cn/04/3d/c26976a394301/page.htm
[3]https://source.android.com/security/bulletin?hl=zh-cn
