「DarkNavy深蓝洞察」2022年度十大漏洞与利用之最缺失责任人漏洞(3)
2023-06-03 来源:旧番剧
这个时间范围内,攻击者可以轻松的从 GPU 驱动厂商发布的补丁、公告信息中重现漏洞、构造攻击,然后轻松攻击市场上全副武装补丁的最新安卓设备!
Google 的 Project Zero 有严格的漏洞披露政策,试图通过强制公开漏洞细节的形式迫使厂商加快漏洞修复过程。但是在安卓 GPU 这个案例里,Project Zero 的漏洞披露政策显得十分尴尬。
2022 年,Project Zero 在 ARM Mali GPU 驱动中发现多个安全漏洞,报告给 ARM 团队后,ARM 团队积极修复,很快就发布了补丁。然而,这些安全修复根本无法及时下发到终端设备上,其中就包括 Google 自家的安卓手机 Pixel。Project Zero 只好通过撰写博客的形式,呼吁安卓设备厂商尽量压缩补丁时间差,甚至在无奈之下直接点名了包括自家 Pixel 在内的几家厂商,含蓄地谴责了他们的“偷懒”行为。
这几个 ARM Mali GPU 漏洞的影响,国内的安卓手机厂商自然几乎都逃不掉,除了华为,还没有哪一家做到了跨越补丁鸿沟第一时间修复。
这不是第一次,也不会是最后一次。这也许和安卓设备供应链中各个环节,包括手机厂商,大部分都还停留在“守好自己代码质量就好”的阶段有关。各个环节似乎都在自扫门前雪,结果往往就是漏洞修复过程的断裂和脱节。那么,谁来为安卓生态最终用户的安全负责?