Google:手机厂商们请不要再自行修改 Linux 内核代码了
Google Project Zero(GPZ)团队近期报告了三星 Android 内核上的漏洞。并指出,三星试图通过修改内核代码来抵御攻击,反而因此暴露出更多安全漏洞。
来自 GPZ 的研究员 Jann Horn 表示,不仅仅是三星,不少智能手机制造商都会向下游添加自定义驱动程序,以此直接通过硬件访问 Android 的 Linux 内核。但其实,最好还是应当使用 Linux 内核中已经存在的安全功能。
Horn 在 Galaxy A50 的 Android 内核中发现的正是上述类型的错误,原本旨在降低内核安全性的措施却引发了内存损坏的问题。具体来讲,这些漏洞允许在运行 Android 9.0 和 10.0 的某些 Galaxy 设备上“执行任意可能的代码”。Google 于去年 11 月向三星报告了该错误,三星在 2 月刚刚发布的针对 Galaxy 手机的更新中进行了修复。