去年 9 月向谷歌提交的 400 多個(gè)漏洞，一直拖到今年年底才修復(fù)完。而且還不是一般的小漏洞，是讓“市面所有活著的安卓設(shè)備變磚頭”的高危漏洞。這些漏洞由復(fù)旦大學(xué)計(jì)算機(jī)學(xué)院的一位教授楊珉與他的同事們一起整理提交。

楊珉教授公開(kāi)了幾封與Android安全團(tuán)隊(duì)之間的往來(lái)郵件，表示自漏洞提交到被Google修復(fù)以來(lái)，不知道收到了多少次 Delay：

嗯，就像是這樣的：

不幸的是，為了確保這個(gè)漏洞在發(fā)布前被完全解決，問(wèn)題的修復(fù)被推遲了。

▲?圖源微博 楊珉_復(fù)旦大學(xué)

楊珉教授還吐槽到，本來(lái)Google團(tuán)隊(duì)是要在 2 個(gè)月內(nèi)修復(fù)的，但事實(shí)是：

在不引入兼容性問(wèn)題的前提下，開(kāi)發(fā)一個(gè)解決該問(wèn)題的修復(fù)方案所需的時(shí)間比預(yù)期的要長(zhǎng)。

因此，Google暫定于 2021 年 11 月份發(fā)布（該問(wèn)題的修復(fù)方案）。

▲?圖源微博 楊珉_復(fù)旦大學(xué)

啊這…… 到底是什么樣的漏洞，讓Google也犯起了拖延癥？

“跨年”漏洞

根據(jù)楊珉教授自己的介紹，這 400 多個(gè)漏洞都是根據(jù)他們基于 Android 系統(tǒng)資源管理機(jī)制的系統(tǒng)性研究而發(fā)現(xiàn)的。

所有使用Android代碼的廠商都將受到這一漏洞的影響。

相關(guān)的研究成果已整理成論文《Exploit the Last Straw That Breaks Android Systems》，被網(wǎng)絡(luò)安全頂會(huì) IEEE S&P 2022 收錄：

從文章的摘要來(lái)看，這是一種名為 Straw 的與數(shù)據(jù)儲(chǔ)存過(guò)程有關(guān)的設(shè)計(jì)缺陷。

這一缺陷可通過(guò) 77 個(gè)系統(tǒng)服務(wù)影響 474 個(gè)相關(guān)接口，并因此生成 Straw 漏洞。

而 Straw 漏洞可能導(dǎo)致各種臨時(shí)或永久的 DoS 攻擊，造成非常嚴(yán)重的后果，比如使用戶的Android設(shè)備永久崩潰。

楊珉教授和其同事將這一漏洞報(bào)告給Android安全團(tuán)隊(duì)，Google將其評(píng)為“高嚴(yán)重級(jí)”。

之后的事情我們就知道了：Google一拖再拖，直到 16 個(gè)月之后的今年年底，終于發(fā)來(lái)了一封“問(wèn)題補(bǔ)丁即將公布”的郵件：

▲?圖源微博 楊珉_復(fù)旦大學(xué)

在郵件中提到，這個(gè)漏洞的 CVE ID 為 CVE-2021-0934。

不過(guò)，目前不管是 CVE 官網(wǎng)上，還是Android安全公告板 12 月份最新發(fā)布的安全補(bǔ)丁中，都還沒(méi)有關(guān)于 CVE-2021-0934 的詳細(xì)描述。

GoogleAndroid安全團(tuán)隊(duì)

歷經(jīng) 16 個(gè)月，高危漏洞終于被修復(fù)。不用擔(dān)心自己手里的Android機(jī)突然變磚固然是好，但也有網(wǎng)友吐槽到：

Google你到底行不行??？

說(shuō)好的還要再籌建一支新的 Android 安全團(tuán)隊(duì)，來(lái)進(jìn)一步加速發(fā)現(xiàn)和修復(fù) Bug 的過(guò)程呢？

還有 5 個(gè)月前剛剛搞的平臺(tái) Google Bug Hunters，整了一個(gè) Bug 獵人排行榜，就是為了鼓勵(lì)更多人找 Bug：

看起來(lái)確實(shí)有不少激勵(lì)作用，Android安全團(tuán)隊(duì)的致謝名單自 2018 年起就變成了按月列出。

翻開(kāi)最近 12 月份的致謝名單，國(guó)人工程師還不少。

不僅有來(lái)自 360、阿里巴巴、字節(jié)跳動(dòng)、清華大學(xué)的工程師，還有一些國(guó)內(nèi)的個(gè)人開(kāi)發(fā)者：

不過(guò)，在鼓勵(lì)開(kāi)發(fā)者和白帽子們找 Bug 的同時(shí)，還是希望Google能在新的一年改掉“拖延癥”吧。

參考鏈接：

[1]https://weibo.com/fdyangmin?profile_ftype=1&is_all=1#_rnd1640826065880

[2]https://secsys.fudan.edu.cn/04/3d/c26976a394301/page.htm

[3]https://source.android.com/security/bulletin?hl=zh-cn

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/