「DarkNavy深蓝洞察」2022年度十大漏洞与利用之最缺失责任人漏洞(3)

这个时间范围内，攻击者可以轻松的从 GPU 驱动厂商发布的补丁、公告信息中重现漏洞、构造攻击，然后轻松攻击市场上全副武装补丁的最新安卓设备！
Google 的 Project Zero 有严格的漏洞披露政策，试图通过强制公开漏洞细节的形式迫使厂商加快漏洞修复过程。但是在安卓 GPU 这个案例里，Project Zero 的漏洞披露政策显得十分尴尬。
2022 年，Project Zero 在 ARM Mali GPU 驱动中发现多个安全漏洞，报告给 ARM 团队后，ARM 团队积极修复，很快就发布了补丁。然而，这些安全修复根本无法及时下发到终端设备上，其中就包括 Google 自家的安卓手机 Pixel。Project Zero 只好通过撰写博客的形式，呼吁安卓设备厂商尽量压缩补丁时间差，甚至在无奈之下直接点名了包括自家 Pixel 在内的几家厂商，含蓄地谴责了他们的“偷懒”行为。

这几个 ARM Mali GPU 漏洞的影响，国内的安卓手机厂商自然几乎都逃不掉，除了华为，还没有哪一家做到了跨越补丁鸿沟第一时间修复。
这不是第一次，也不会是最后一次。这也许和安卓设备供应链中各个环节，包括手机厂商，大部分都还停留在“守好自己代码质量就好”的阶段有关。各个环节似乎都在自扫门前雪，结果往往就是漏洞修复过程的断裂和脱节。那么，谁来为安卓生态最终用户的安全负责？