谷歌抨擊三星對安卓Linux內核代碼進行不必要更改

IT之家2月14日消息 三星會通過采取諸如Knox之類的舉措來加強其智能手機的安全性。但是，有時這些額外的努力所帶來的傷害大于幫助。現(xiàn)在，谷歌抨擊三星手機廠商，因為它對安卓Linux內核代碼進行了不必要的更改，并暴露了更多的安全漏洞。

根據Google Project Zero研究人員Jann Horn的說法，三星通過添加downstream自定義驅動程序來直接訪問Android的Linux內核，從而制造了更多漏洞。這些更改的實現(xiàn)無需upstream內核開發(fā)人員的審查。Horn在三星Galaxy A50的Android內核中發(fā)現(xiàn)了類似的錯誤，并且未經審查的自定義驅動程序增加了與內存損壞有關的安全性錯誤。

該錯誤影響了三星的PROCA（過程驗證器）安全子系統(tǒng)。三星在其安全網站上將該漏洞描述為中等問題。它允許在運行Android 9和Android 10操作系統(tǒng)的某些Galaxy智能手機上“可能執(zhí)行任意代碼”。谷歌于2019年11月向三星報告了該漏洞，這家韓國公司于本月初發(fā)布了該漏洞的補丁程序。

Google Project Zero研究人員的博客文章專注于Android上的工作，以減少向Linux內核添加唯一代碼的品牌對安全影響。Google試圖鎖定可以訪問設備驅動程序的進程，但是三星等品牌對內核所做的更改破壞了這些努力。

建議智能手機制造商使用Linux中已經存在的直接硬件訪問功能，而不是更改內核代碼。例如，PROCA旨在阻止已獲得對內核的讀寫訪問權限的攻擊者，但三星需要花費工程時間來阻止攻擊者首先獲得該訪問權限。

研究人員稱，三星和其他OEM在其設備的Linux內核中添加的某些自定義功能是“不必要的”，即使將其刪除，它們也不會影響設備。

三星Galaxy S20系列/ Galaxy Z Flip產品專題

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。