复旦教授:说好2个月修复400多个安卓漏洞,谷歌却用了16个月
整理 | 祝涛
出品 | CSDN(ID:CSDNnews)
12月29日,复旦大学计算机学院教授、国家973首席科学家杨珉在微博发文,称自己和同事们于去年9月向谷歌提交了400多个漏洞,16个月后谷歌安全团队终于修复完毕,不过此前谷歌安全团队曾宣称两个月内就能修复。
高危漏洞:让安卓设备瞬间变砖
据了解,杨珉及其同事所报告的漏洞并不是平平无奇的小漏洞,正如杨珉所说,这些漏洞是“一类让市面所有活着的安卓设备变砖头的高危漏洞”。
根据杨珉教授介绍,这400多个漏洞都是根据他们基于Android系统资源管理机制的系统性研究而发现的,所有使用安卓代码的厂商都将受到这一漏洞的影响。相关的研究成果已整理成论文《Exploit the Last Straw That Breaks Android Systems》,被网络安全顶会IEEE S&P 2022收录:
如文章摘要所述,这是一种名为Straw的与数据储存过程有关的设计缺陷。这一缺陷可通过77个系统服务影响474个相关接口,并因此生成Straw漏洞。而Straw漏洞可能导致各种临时或永久的DoS攻击,造成非常严重的后果,比如使用户的安卓设备永久崩溃。
这个漏洞不修是打算留着跨年?
据杨珉教授所说,他们所发现的漏洞于2020年9月提交。杨珉称,谷歌的安全团队原本宣称2个月就能修复,然而谷歌团队却频频放鸽子,一直以“难以修复该类漏洞”为由而推迟补丁发布。杨珉教授在微博发布了几封与安卓安全团队之间的往来邮件,从邮件可以看出,自漏洞提交以来,谷歌频频推迟了修复计划。
图片来自于杨珉个人微博
“在不知道收到多少次Delay通知后,我们提交的Android高危漏洞终于要修复完了。” 从漏洞提交到漏洞被谷歌修复,前后历时1年多。杨珉称:“这也算是个‘跨年’漏洞了。”
图片来自于杨珉个人微博
谷歌这次磨磨蹭蹭的修复引起了网友热议。
许多网友好奇,谷歌到底是真的没能力尽快修复漏洞呢还是故意为之?这究竟是漏洞还是后门呢?你怎么看?
参考链接:
https://weibo.com/fdyangmin
https://secsys.fudan.edu.cn/04/3d/c26976a394301/page.htm
☞谷歌双标?拒绝给员工涨薪后,转头将高管工资提高到100万美元
☞CEO“排队”卸任、企业“扎堆”造车,2021科技圈十大事件你知道几个?
☞字节工程师薪资排世界第五,中位数 43 万美元,2021 全球程序员收入报告出炉!
☞“逗鹅冤”出续集,冒充老干妈员工诈骗腾讯案主犯被判刑12年
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 习近平寄语新时代青年 4999953
- 2 福建海警编队金门水道执法现场 4987371
- 3 小孩展览馆内打碎高价陶瓷 4862645
- 4 多视角看嫦娥六号发射瞬间 4704427
- 5 张韶涵方发律师声明 4604641
- 6 深圳二手房突破荣枯线 4501181
- 7 五一假期即将进入返程高峰 4449209
- 8 文昌人家楼顶长满了追嫦娥六号的人 4395787
- 9 这些关于景区的谣言别信 4274461
- 10 美情报官称中俄军演迫使美改计划 4193314