谷歌警告三星等制造商称继续魔改安卓内核会带来更多潜在的安全漏洞

日前谷歌旗下安全实验室发布警告称如果三星继续在安卓系统里修改内核源代码可能会带来更多潜在的安全漏洞。

发布这则警告的原因在于谷歌安全实验室诸如三星等智能手机制造商存在非常普遍的修改安卓内核源代码的问题。

通常制造商修改安卓内核源代码的目的在于添加自定义的驱动程序,但是这也会导致内核许多安全策略直接失效。

目前研究人员已经在三星定制的安卓系统里发现潜在的安全问题,为此谷歌也发布警告提醒制造商不要再这么做。

谷歌警告三星等制造商称继续魔改安卓内核会带来更多潜在的安全漏洞

修复漏洞的同时带来新漏洞:

安卓基于Linux 操作系统开发因此在内核方面也是相同的,而内核本身非常复杂因此需多名开发者共同进行维护。

谷歌发现三星在解决某些安全漏洞时会添加自定义的驱动程序,这些驱动程序并没有经过内核开发者们进行审核。

尽管三星确实没有义务将添加的上下游代码提交审核,但三星定义的这些驱动程序可以让硬件直接访问内核部分。

而未经普遍性的验证这就有可能会造成内核安全功能失效,进而增加有关内核部分的内存损坏相关的安全性错误。

也就是这类修复方法虽然表面上确实将某些已知安全漏洞修复,但在不知不觉中又导致某些暂时还未发现的漏洞。

谷歌不希望自己的努力被破坏:

实际上在安卓系统的内核层面谷歌也花费大量时间进行调整,基于Linux 内核又结合安卓系统为其添加安全功能。

而制造商这种类似魔改的策略会让谷歌乃至Linux 内核项目组的工作白费,又让广大安卓用户暴露在安全风险中。

反过来出现新的安全漏洞时三星等制造商又需要花费时间进行修复,然后魔改般的修复策略又可能带来新的漏洞。

所以谷歌安全实验室的研究人员提醒制造商要遵循标准流程进行修复,不然会让安卓系统千疮百孔毫无安全可言。

本文来源 Google Project Zero,由 山外的鸭子哥 整理编辑,其版权均为 Google Project Zero 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
topgamerleishiming
哇哦恭喜您已成功屏蔽了蓝点网的小广告
扫码关注蓝点网微信公众号

评论:

6 条评论,访客:6 条,站长:0 条
  1. 木头科学二百五
    木头科学二百五发布于: 
    Google Chrome 82.0.4060.0 Google Chrome 82.0.4060.0 Windows 10 64位版 Windows 10 64位版

    “三星确实没有义务将添加的上下游代码提交审核”是不对的,根据 GPL v2 授权协议,任何对 Linux kernel 源代码的编辑都应在被使用和作为产品发放的同时随附。所以任何手机厂商在 Android 中嵌入的驱动都是必须开源的,否则违法。这也是为什么 Android ROM 刷机生态如此丰富自由的根本原因。

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 80.0.3987.106 Google Chrome 80.0.3987.106 Windows 10 64位版 Windows 10 64位版

      三星魔改的不是Linux内核,而是添加的自定义驱动,这些驱动权限控制方面比较混乱比如可以直接访问内核导致Linux内核安全功能被削弱,并不是直接修改内核代码的。

      • 木头科学二百五
        木头科学二百五发布于: 
        Chromium Edge 82.0.425.0 Chromium Edge 82.0.425.0 Windows 10 64位版 Windows 10 64位版

        这个 level 的调用是否是符合 kernel GPL 非传导范围的呢?据我所知小米华为都得把驱动开源的,之前有一次开源迟了还被喷了一回。

  2. Simon
    Simon发布于: 
    Google Chrome 80.0.3987.106 Google Chrome 80.0.3987.106 Windows 10 64位版 Windows 10 64位版

    “安全漏洞直接失效”不是好事嘛,哈哈哈。

    • 光脚满地跑
      光脚满地跑发布于: 
      Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 64位版 Windows 10 64位版

      应该是安全“补丁”直接失效……吧

发表评论