去年 9 月向谷歌提交的 400 多個漏洞，一直拖到今年年底才修復完而且還不是一般的小漏洞，是讓市面所有活著的安卓設備變磚頭的高危漏洞

這些漏洞由復旦大學計算機學院的一位教授楊珉與他的同事們一起整理提交。

楊珉教授公開了幾封與安卓安全團隊之間的往來郵件，表示自漏洞提交到被谷歌修復以來，不知道收到了多少次 Delay:

嗯，就像是這樣的:

不幸的是，為了確保這個漏洞在發布前被完全解決，問題的修復被推遲了。

圖源微博 楊珉_復旦大學

楊珉教授還吐槽到，本來谷歌團隊是要在 2 個月內修復的，但事實是:

在不引入兼容性問題的前提下，開發一個解決該問題的修復方案所需的時間比預期的要長。

因此，谷歌暫定于 2021 年 11 月份發布。

圖源微博 楊珉_復旦大學

啊這 到底是什么樣的漏洞，讓谷歌也犯起了拖延癥

跨年漏洞

根據楊珉教授自己的介紹，這 400 多個漏洞都是根據他們基于 Android 系統資源管理機制的系統性研究而發現的。

所有使用安卓代碼的廠商都將受到這一漏洞的影響。。

相關的研究成果已整理成論文《Exploit the Last Straw That Breaks Android Systems》，被網絡安全頂會 IEEE Samp，P 2022 收錄:

從文章的摘要來看，這是一種名為 Straw 的與數據儲存過程有關的設計缺陷。

這一缺陷可通過 77 個系統服務影響 474 個相關接口，并因此生成 Straw 漏洞。

而 Straw 漏洞可能導致各種臨時或永久的 DoS 攻擊，造成非常嚴重的后果，比如使用戶的安卓設備永久崩潰。

楊珉教授和其同事將這一漏洞報告給安卓安全團隊，谷歌將其評為高嚴重級。

之后的事情我們就知道了:谷歌一拖再拖，直到 16 個月之后的今年年底，終于發來了一封問題補丁即將公布的郵件:

圖源微博 楊珉_復旦大學

在郵件中提到，這個漏洞的 CVE ID 為 CVE—2021—0934。針對日益嚴重的肥胖問題，家長和孩子可以參考國家婦幼健康研究會和婦幼肥胖控制專業委員會最新撰寫的《中國兒童肥胖的評估，治療和預防指南》。

谷歌安卓安全團隊

歷經 16 個月，高危漏洞終于被修復。不用擔心自己手里的安卓機突然變磚固然是好，但也有網友吐槽到:

谷歌你到底行不行啊。

說好的還要再籌建一支新的 Android 安全團隊，來進一步加速發現和修復 Bug 的過程呢。

還有 5 個月前剛剛搞的平臺 Google Bug Hunters，整了一個 Bug 獵人排行榜，就是為了鼓勵更多人找 Bug:

看起來確實有不少激勵作用，安卓安全團隊的致謝名單自 2018 年起就變成了按月列出。

翻開最近 12 月份的致謝名單，國人工程師還不少。

不僅有來自 360，阿里巴巴，字節跳動，清華大學的工程師，還有一些國內的個人開發者:

不過，在鼓勵開發者和白帽子們找 Bug 的同時，還是希望谷歌能在新的一年改掉拖延癥吧。

參考鏈接:

。本文地址：http://www.dayishuiji.com/finance/18743.html - 轉載請保留原文鏈接。

免責聲明：本文轉載上述內容出于傳遞更多信息之目的，不代表本網的觀點和立場，故本網對其真實性不負責，也不構成任何其他建議；本網站圖片，文字之類版權申明，因為網站可以由注冊用戶自行上傳圖片或文字，本網站無法鑒別所上傳圖片或文字的知識版權，如果侵犯，請及時通知我們，本網站將在第一時間及時刪除。