4006-555-883

谷歌警示三星:修改Android内核代码行为会暴露更多漏洞

发布时间:2020-02-18 16:15:00

  Google Project Zero (GPZ)团队近日向三星发出警告,表示后者在Galaxy系列手机中修改内核代码的行为将会暴露更多的安全BUG。GPZ研究员Jann Horn表示,以三星为代表的多家智能手机厂商通过添加下游自定义驱动的方式,直接硬件访问Android的Linux内核会创建更多的漏洞,导致现存于Linux内核的多项安全功能失效。

  
      Horn表示这个问题是在三星Galaxy A50的Android内核中发现的。不过他表示,这种情况在Android手机厂商中非常普遍。也就是说,这些厂商向Linux Kernel中添加未经上游(upstream)内核开发者审核的下游(downstream)代码,增加了与内存损坏有关的安全性错误。

  即使这些下游定制旨在增加设备的安全性,它们也会引入安全性错误。谷歌于2019年11月向三星报告了该漏洞,随后在今年2月面向Galaxy系列手机的更新中修复了这个问题。

  该错误影响了三星的PROCA(过程验证器)安全子系统。三星在其安全网站上将漏洞SVE-2019-16132描述为中等问题。它允许在运行Android 9和Android 10操作系统的某些Galaxy智能手机上“可能执行任意代码”。

  Horn解释说:“Android通过锁定可以访问设备驱动程序的进程(通常是特定于供应商的)来减少此类代码对安全性的影响。”一个例子是,较新的Android手机通过专用的帮助程序来访问硬件,这些帮助程序在Android中统称为硬件抽象层(HAL)。

  不过Horn表示,手机厂商通过修改Linux Kernel核心部分的工作方式,这破坏了“锁定攻击面”上做出的努力。Horn建议智能手机制造商使用Linux中已经存在的直接硬件访问功能,而不是更改内核代码。例如,PROCA旨在阻止已获得对内核的读写访问权限的攻击者,但三星需要花费工程时间来阻止攻击者首先获得该访问权限。

  (内容转载于cnbeta.com)

最新发布
1
小威开讲啦 | Nginx如何实现OCSPStapling
2
小威开讲啦 | 如何修复 POODLE SSLv3 安全漏洞 (CVE-2014-3566)
3
HTTPS证书如何选择?
4
不用怀疑!SSL证书国产化已成必然趋势
5
为什么国家一直大力推行国密SSL证书?
6
原来除企业网站外,这些场景全都需要SSL证书……
7
请查收这份国密SSL改造方案,超200家头部企业用了都说好!
8
隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”
9
信息泄露成网络诈骗犯罪源头,SSL证书为敏感信息穿上“防护衣”
10
怕过期?怕麻烦?你需要SSL证书订阅模式!
相关推荐
@所有网站运营者,SSL证书过期不要慌
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
信息泄露成网络诈骗犯罪源头,SSL证书为敏感信息穿上“防护衣”
HTTPS证书如何选择?
怕过期?怕麻烦?你需要SSL证书订阅模式!
不用怀疑!SSL证书国产化已成必然趋势
隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”
小威开讲啦 | 如何修复 POODLE SSLv3 安全漏洞 (CVE-2014-3566)
为什么国家一直大力推行国密SSL证书?