近日,有媒體報導稱,去年 9 月份,來自復旦大學計算機學院的楊珉教授及同事們發現了 400 多個能讓“市面所有活著的 Android 裝置變磚”的高危漏洞,並通過整理後提交至谷歌方面。
“離譜”的是,當時 google 安全團隊宣稱 2 個月就修復,但實際花了 16 個月。也就是說,這些高危漏洞跟著大家一起“跨”了個年,一直到最近才完全修復。
12 月 29 日,楊珉教授在微博通過賬號 @楊珉_復旦大學 曬出了此前與 Android 安全團隊的郵件,併發文稱自從去年 9 月這些漏洞提交給谷歌修復以來已收到了多次 Delay 通知,同時調侃稱“不知道是不是要給谷歌 Android 安全團隊拉黑了”。
此博文釋出之後,也引起不少熱議。大家紛紛對這 400 多個漏洞表示好奇,究竟是啥漏洞,讓谷歌也“鴿”了一回呢?
據介紹,這 400 多個漏洞是楊珉教授團隊基於 Android 系統資源管理機制的系統性研究發現的,相關研究成果已整理成論文《Exploit the Last Straw That Breaks Android Systems》並被網路安全頂會 IEEE S&P 2022 收錄。
該論文摘要介紹稱,這種與資料儲存過程相關的設計缺陷名為“Straw”,該缺陷可通過 77 個系統服務影響 474 個相關介面,由此生成的 Straw 漏洞可導致各種臨時甚至永久的 DoS 攻擊,讓使用者的 Android 裝置永久崩潰,可帶來嚴重後果,屆時所有使用 Android 程式碼的廠商都將受到該漏洞的影響。
據悉,在楊珉教授團隊發現這些漏洞的時候,就立即將其提交給了谷歌方面,當時谷歌也將其評為“高嚴重級”。本來以為谷歌應該能妥善解決該漏洞了吧,但結果卻一直收到來自谷歌的 Delay 通知,一直拖到了今年年底,這幾天谷歌才終於發來了一封“問題補丁即將公佈”的郵件。
郵件中,谷歌將該漏洞的 CVE ID “命名”為 CVE-2021-0934,但目前 在CVE 官網及 Android 安全最新公告欄上(https://secsys.fudan.edu.cn/0...),都未發現有關 CVE-2021-0934 的詳細資訊。
當然,總之經歷了16個月的修復時間,大家的 Android 裝置不用“變磚”了,這也是個好訊息。
而對於此次谷“鴿”為何花費 1 年多時間才修復該漏洞,在谷歌回覆楊珉教授的郵件中,我們得知“因為必須在不引入相容性問題的前提下,開發出一個解決該問題的修復方案,因此其所需的時間就比預期的要長”,對於這個回答,不知道大家怎麼看?
不管大家怎麼看,但在楊珉教授和同事們看來,他們已經快因為這件事“憋壞了”。在博文中,楊珉教授“吐槽”稱:“在此期間,Google 一直因為難以修復該類漏洞而推遲補丁釋出,反覆招呼我們保密。”
楊教授他們以專業研究者的角度發現問題並對其進行研究,同時嚴謹保密,不然我們也不會現在才知道手裡的 Android 裝置已經從“變磚”的高危後果裡逃出一劫。
所以在這裡,我們不僅要提醒科技巨頭們改掉“拖延症”,同時也要呼籲科技公司善待並鼓勵開發者、白帽黑客(White Hat)們找 Bug,共同加入到維護網路安全的專案中去,一起向廣大的安全研究人員們致敬!