杨珉教授公开了几封与Android安全团队之间的往来邮件,表示自漏洞提交到被Google修复以来,不知道收到了多少次 Delay:
嗯,就像是这样的:
不幸的是,为了确保这个漏洞在发布前被完全解决,问题的修复被推迟了。
▲ 图源微博 杨珉_复旦大学
杨珉教授还吐槽到,本来Google团队是要在 2 个月内修复的,但事实是:
在不引入兼容性问题的前提下,开发一个解决该问题的修复方案所需的时间比预期的要长。
因此,Google暂定于 2021 年 11 月份发布(该问题的修复方案)。
▲ 图源微博 杨珉_复旦大学
啊这…… 到底是什么样的漏洞,让Google也犯起了拖延症?
“跨年”漏洞
根据杨珉教授自己的介绍,这 400 多个漏洞都是根据他们基于 Android 系统资源管理机制的系统性研究而发现的。
所有使用Android代码的厂商都将受到这一漏洞的影响。
相关的研究成果已整理成论文《Exploit the Last Straw That Breaks Android Systems》,被网络安全顶会 IEEE S&P 2022 收录:
从文章的摘要来看,这是一种名为 Straw 的与数据储存过程有关的设计缺陷。
这一缺陷可通过 77 个系统服务影响 474 个相关接口,并因此生成 Straw 漏洞。
而 Straw 漏洞可能导致各种临时或永久的 DoS 攻击,造成非常严重的后果,比如使用户的Android设备永久崩溃。
杨珉教授和其同事将这一漏洞报告给Android安全团队,Google将其评为“高严重级”。
之后的事情我们就知道了:Google一拖再拖,直到 16 个月之后的今年年底,终于发来了一封“问题补丁即将公布”的邮件:
▲ 图源微博 杨珉_复旦大学
在邮件中提到,这个漏洞的 CVE ID 为 CVE-2021-0934。
不过,目前不管是 CVE 官网上,还是Android安全公告板 12 月份最新发布的安全补丁中,都还没有关于 CVE-2021-0934 的详细描述。
GoogleAndroid安全团队
历经 16 个月,高危漏洞终于被修复。不用担心自己手里的Android机突然变砖固然是好,但也有网友吐槽到:
Google你到底行不行啊?
说好的还要再筹建一支新的 Android 安全团队,来进一步加速发现和修复 Bug 的过程呢?
还有 5 个月前刚刚搞的平台 Google Bug Hunters,整了一个 Bug 猎人排行榜,就是为了鼓励更多人找 Bug:
看起来确实有不少激励作用,Android安全团队的致谢名单自 2018 年起就变成了按月列出。
翻开最近 12 月份的致谢名单,国人工程师还不少。
不仅有来自 360、阿里巴巴、字节跳动、清华大学的工程师,还有一些国内的个人开发者:
不过,在鼓励开发者和白帽子们找 Bug 的同时,还是希望Google能在新的一年改掉“拖延症”吧。
参考链接:
[1]https://weibo.com/fdyangmin?profile_ftype=1&is_all=1#_rnd1640826065880
[2]https://secsys.fudan.edu.cn/04/3d/c26976a394301/page.htm
[3]https://source.android.com/security/bulletin?hl=zh-cn
最新文章