Google 点名三星:做了不必要的改动让 Android 手机变不安全
文/记者黄敬淳/ 2020-02-18 12:28
据 Google 内部资安团队“Google Project Zero”研究员 Jann Horn 的说法,三星一
些针对 Android 核心(Kernel)的动作,似乎可能造成 Android 系统变得更不安全。
虽然三星之所以做出这些修改,主要目的是想改善自家手机的安全性,但 Jann Horn
认为,这些涉及三星自行客制、用于访问 Android Linux 核心的驱动程式,反而制造
了更多的安全漏洞。
Jann Horn 举例,由于三星对核心的更动不需要通过上游核心开发者的审核就能通过,
其开发的安全子系统“Process Authenticator”(PROCA),反而带来了一些与内存
有关的安全问题,导致 Galaxy A50 在内的特定 Android 9、Android 10 三星手机,
可以被执行“任意程式码”。
这个由 Google 在去年底向三星报告的漏洞,甚至被三星自己公布并推送安全更新,同
时将其风险标示为“中级”。
Jann Horn 也认为,这些更动其实没有必要,即使删除也不会影响装置,而实际上,
Google 目前也针对 Android 系统做出更高的加密,以限定各家 Android 品牌对核心
的访问权,不过为了创造产品的独特性,许多 Android 品牌仍会尝试大幅修改
Android 的架构。
Jann Horn 也建议 Android 手机商应使用既有的硬件访问功能,而不是更改其核心程
式码,例如与其修改核心、开发 PROCA 来阻止已获得核心读写权限的骇客进一步攻击
,不如先考虑不让骇客获得读写权限。
想打造独家的 Android 客制系统,也最好采用“沙盒”这类不会影响核心运作与更新
的方式。
https://3c.ltn.com.tw/news/39564
心得:
这自然是有点两难的事情,Google希望各家不要乱改自己的Android
而各家厂商为了做出自己的独特性并让消费者依赖则是会拿出不一样的东西出来
但是安全性就得要仔细注意了