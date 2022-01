復旦大學計算機學院教授楊珉。( 取材自微博)

大概所有安卓 用戶都不會想到,自己手機原來這麼危險。去年9月,復旦大學計算機學院教授楊珉和他的同事們整理提交400多個漏洞給谷歌 ,但是這些漏洞一直到今年年底才被修復完。這些漏洞還包括可以讓「市面所有活著的安卓設備變板磚」的高位漏洞。

來源:YouTube

大數據文摘報導,楊珉在提交漏洞後給安卓安全團隊發過多封郵件,結果收到的永遠是Delay,不知道多少Delay後,谷歌才把漏洞給修復了。並且,谷歌還希望楊教授「要保密」。

楊珉裱示,這400多個漏洞都是他和同事們基於針對Android 系統資源管理機制的系統性研究發現的,使用Android代碼的相關廠商均受影響。

這一研究以一篇名為「Exploit the Last Straw That Breaks Android Systems」的論文發表於網路安全頂會IEEE S&P 2022摘要介紹道:「我們對Android系統服務中的數據存儲過程進行了第一次系統的安全性研究,因此發現了一類新的設計缺陷(名為Straw),它可以導致嚴重的DoS (Denial-of-Service)攻擊,例如,永久地使整個受害的Android設備崩潰。」 發現400多漏洞後,楊珉直接寫了一篇論文。(取材自大數據文摘)

「我們提出一種新的基於定向模糊的方法,稱為StrawFuzzer,自動審查所有系統服務的Straw漏洞。通過在三個最新安全更新的Android系統上應用StrawFuzzer,我們識別出35個獨特的straw漏洞,影響77個系統服務的474個接口,並成功生成相應的漏洞,可用於進行各種永久/臨時DoS攻擊。我們已經將我們的發現以及修復漏洞的建議報告給相應的供應商。到目前為止,谷歌將我們的漏洞評級為高嚴重性。 」

文章表示,這個名為Straw的設計漏洞可能招受嚴重的Dos攻擊,讓安卓設備崩潰,變成板磚,這個漏洞也被谷歌評為高嚴重性。「幸運的是,在谷歌姍姍來遲的補丁到來之前,這一漏洞沒有被人利用進行大規模的破壞,否則就這個規模而言,後果是不堪設想的。」

在楊珉和團隊提交漏洞之後,安卓安全團隊回覆將在兩個月之內修復漏洞。結果卻經過不停的Delay之後,一直拖到今年年底才宣布漏洞終於要修補完了。

楊珉現任復旦大學計算機科學技術學院副院長、復旦大學中國網絡空間戰略研究所副所長,研究領域就是網路安全,主要包括惡意代碼檢測、漏洞分析挖掘、AI 安全、區塊鏈安全、Web 安全和系統安全機制等。