复旦教授:说好2个月修复400多个安卓漏洞,谷歌实际用了16个月

2021 年 12 月 31 日 CSDN

整理 | 祝涛       
出品 | CSDN(ID:CSDNnews)

12月29日,复旦大学计算机学院教授、国家973首席科学家杨珉在微博发文,称自己和同事们于去年9月向谷歌提交了400多个漏洞,16个月后谷歌安全团队终于修复完毕,不过此前谷歌安全团队曾宣称两个月内就能修复。


高危漏洞:让安卓设备瞬间变砖


据了解,杨珉及其同事所报告的漏洞并不是平平无奇的小漏洞,正如杨珉所说,这些漏洞是“一类让市面所有活着的安卓设备变砖头的高危漏洞”。

根据杨珉教授介绍,这400多个漏洞都是根据他们基于Android系统资源管理机制的系统性研究而发现的,所有使用安卓代码的厂商都将受到这一漏洞的影响。相关的研究成果已整理成论文《Exploit the Last Straw That Breaks Android Systems》,被网络安全顶会IEEE S&P 2022收录:

如文章摘要所述,这是一种名为Straw的与数据储存过程有关的设计缺陷。这一缺陷可通过77个系统服务影响474个相关接口,并因此生成Straw漏洞。而Straw漏洞可能导致各种临时或永久的DoS攻击,造成非常严重的后果,比如使用户的安卓设备永久崩溃。


这个漏洞不修是打算留着跨年?


据杨珉教授所说,他们所发现的漏洞于2020年9月提交。杨珉称,谷歌的安全团队原本宣称2个月就能修复,然而谷歌团队却频频放鸽子,一直以“难以修复该类漏洞”为由而推迟补丁发布。杨珉教授在微博发布了几封与安卓安全团队之间的往来邮件,从邮件可以看出,自漏洞提交以来,谷歌频频推迟了修复计划。

图片来自于杨珉个人微博

“在不知道收到多少次Delay通知后,我们提交的Android高危漏洞终于要修复完了。” 从漏洞提交到漏洞被谷歌修复,前后历时1年多。杨珉称:“这也算是个‘跨年’漏洞了。”

图片来自于杨珉个人微博

谷歌这次磨磨蹭蹭的修复引起了网友热议。

许多网友好奇,谷歌到底是真的没能力尽快修复漏洞呢还是故意为之?这究竟是漏洞还是后门呢?你怎么看?

参考链接:

  • https://weibo.com/fdyangmin

  • https://secsys.fudan.edu.cn/04/3d/c26976a394301/page.htm

     
     
       


阿里计划出售微博全部股份,彻底退出投资;快手调整员工福利,减少房补,增加生育津贴;Meta旗下VR设备热卖|极客头条

从硬件到软件工程师,我用了 12 年实现了财务自由!

C++ 最难学?最易/难学习的编程语言 TOP 5 来了!


登录查看更多
0

相关内容

Android(安卓)是一种以 Linux 为基础开发的开放源代码的操作系统,主要应用于便携设备。2005 年,Android 公司被 Google 收购,随后 Google 联合制造商组成开放手机联盟。Android 已从智能手机领域逐渐扩展到平板电脑、智能电视(及机顶盒)、游戏机、物联网、智能手表、车载系统、VR以及PC等领域。
牛津大学、谷歌等十余位学者《自动强化学习》撰文综述
专知会员服务
16+阅读 · 2021年9月7日
专知会员服务
45+阅读 · 2021年5月13日
【KDD2020】基于纳什强化学习的鲁棒垃圾邮件发送者检测
专知会员服务
16+阅读 · 2020年8月16日
【SIGGRAPH2019】TensorFlow 2.0深度学习计算机图形学应用
专知会员服务
39+阅读 · 2019年10月9日
医疗知识图谱构建与应用
专知会员服务
384+阅读 · 2019年9月25日
谷歌对标华为鸿蒙、取代安卓的新系统,悬了?
ZEALER订阅号
0+阅读 · 2022年3月29日
修Bug哪家强?谷歌:Linux,比我都修得好
量子位
0+阅读 · 2022年2月20日
Log4j 漏洞还没忙完,新的漏洞又出现了!
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2008年12月31日
国家自然科学基金
1+阅读 · 2008年12月31日
Arxiv
0+阅读 · 2022年4月19日
Arxiv
0+阅读 · 2022年4月17日
Arxiv
28+阅读 · 2021年9月26日
Arxiv
17+阅读 · 2021年3月29日
A Survey on Edge Intelligence
Arxiv
50+阅读 · 2020年3月26日
Feature Denoising for Improving Adversarial Robustness
Arxiv
15+阅读 · 2018年12月9日
VIP会员
相关VIP内容
牛津大学、谷歌等十余位学者《自动强化学习》撰文综述
专知会员服务
16+阅读 · 2021年9月7日
专知会员服务
45+阅读 · 2021年5月13日
【KDD2020】基于纳什强化学习的鲁棒垃圾邮件发送者检测
专知会员服务
16+阅读 · 2020年8月16日
【SIGGRAPH2019】TensorFlow 2.0深度学习计算机图形学应用
专知会员服务
39+阅读 · 2019年10月9日
医疗知识图谱构建与应用
专知会员服务
384+阅读 · 2019年9月25日
相关基金
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2008年12月31日
国家自然科学基金
1+阅读 · 2008年12月31日
Top
微信扫码咨询专知VIP会员