Google花费16个月才修复Android漏洞

近日复旦大学计算机学院的杨珉表示，他们团队去年9月向谷歌提交的 400 多个漏洞，一直拖到今年年底才修复完。而且还不是一般的小漏洞，是让“市面所有活着的安卓设备变砖头”的高危漏洞。

根据杨珉教授自己的介绍，这 400 多个漏洞都是根据他们基于 Android 系统资源管理机制的系统性研究而发现的。所有使用Android代码的厂商都将受到这一漏洞的影响。相关的研究成果已整理成论文《Exploit the Last Straw That Breaks Android Systems》，被网络安全顶会IEEE S&P 2022收录。

从文章的摘要来看，这是一种名为Straw的与数据储存过程有关的设计缺陷。这一缺陷可通过77个系统服务影响474个相关接口，并因此生成Straw漏洞。而Straw漏洞可能导致各种临时或永久的DoS攻击，造成非常严重的后果，比如使用户的Android设备永久崩溃。杨珉教授和其同事将这一漏洞报告给Android安全团队，Google将其评为“高严重级”。