谷歌已经猛烈抨击了一些领先的移动制造商在其Android平台上修改Linux内核代码。
据谷歌的“零安全计划”(Project Zero Security)小组称,几家手机制造商对该软件进行了修补,以使其设备更加安全——然而,在此过程中,实际上最终使这些手机易受严重安全漏洞的影响。
这其中包括三星,它对Android Linux内核的修补导致该公司的设备面临一系列威胁。
谷歌建议制造商应该使用Android内置的安全功能,而不是对核心内核进行不必要的更改。
谷歌的Jann Horn以三星的Galaxy A50为例透露,在做出这些改变的同时,三星增加了定制驱动程序,从而创造了对内核的直接访问。虽然这是为了提高设备的安全性,但它产生了内存损坏错误。
三星将该bug描述为一个温和的问题,包括在运行Android9Pie和Android10的设备上的免费和双免费漏洞,以及影响公司的PROCA(ProcessAuthenticator)安全子系统。该公司在最近2月份的更新中修补了这个错误。
霍恩的帖子还表明,特定于设备的内核更改是漏洞的频繁来源,并称这些漏洞是“不必要的”,这否定了谷歌在保护操作系统方面的工作。
他强调了三星的另一个例子,即设备的一个变化是为了限制获得“任意内核读/写”的攻击者。他称这些变化是“徒劳的”,他提到,如果它确保黑客甚至不到达这一点,工程资源就可以得到更好的利用。
他最后呼吁“理想情况下,所有供应商都应该使用并经常应用支持上游内核的更新。