rss信息聚合

Google点评三星:不必要改动Android恐让手机不安全

2020-02-20 00:11:03 作者:李健华 来源:TechDaily 浏览次数:0 网友评论 0 | Share to

【TechDaily电子报2020年2月19日综合报导】据Google内部安全团队的说法,三星一些针对Android 核心(Kernel)的修改动作,可能造成Android系统变得更不安全。

虽然三星(Samsung)之所以做出这些修改,主要目的是想改善自家手机的安全性,但谷歌内部安全团队“Google Project Zero”研究员Jann Horn认为,这些涉及三星自行客制、用于访问Android Linux核心的驱动程式,反而制造了更多的安全漏洞。

他举例,由于三星对核心的更动不需要通过上游核心开发者的审核就能通过,其开发的安全子系统“Process Authenticator”(PROCA),反而带来了一些与记忆体有关的安全问题,导致Galaxy A50在内的特定Android 9、Android 10三星手机,可以被执行“任意程式码”。

这个由谷歌在去年底向三星报告的漏洞,甚至被三星自己公布并推送安全更新,同时将其风险标示为“中级”。

Jann Horn也认为,这些更动其实没有必要,即使删除也不会影响装置,而实际上,谷歌目前也针对Android系统做出更高的加密,以限定各家Android品牌对核心的访问权,不过为了创造产品的独特性,许多Android品牌仍会尝试大幅修改 Android的架构。

Jann Horn也建议 Android 手机商应使用既有的硬体访问功能,而不是更改其核心程式码,例如与其修改核心、开发 PROCA 来阻止已获得核心读写权限的骇客进一步攻击,不如先考虑不让骇客获得读写权限。

想打造独家的Android 客制系统,也最好采用“沙盒”(sandbox)这类不会影响核心运作与更新的安全机制。
 

[错误报告] [推荐] [收藏] [打印] [关闭] [返回顶部]

  • 验证码:

最新图片文章

最新文章