Google 警告三星，別亂動(dòng) Android 內(nèi)核代碼

近日，Google Project Zero（GPZ）團(tuán)隊(duì)向三星發(fā)出警告，如果三星在 Galaxy 系列手機(jī)中修改內(nèi)核代碼，將會(huì)暴露更多安全漏洞。

手機(jī)產(chǎn)商造成的安全漏洞

據(jù)了解，GPZ 研究員 Jann Horn 在三星 Galaxy A50 的安卓?jī)?nèi)核中發(fā)現(xiàn)錯(cuò)誤。Jann Horn 指出，像三星這樣的智能手機(jī)制造商會(huì)通過(guò)添加下游定制驅(qū)動(dòng)程序來(lái)直接訪問(wèn) Android 的 Linux 內(nèi)核，結(jié)果造成了更多的安全漏洞。

同時(shí)，Jann Horn 還表示，三星的做法在所有智能手機(jī)廠商中相當(dāng)普遍——即手機(jī)廠商向 Linux Kernel 中添加未經(jīng)上游（upstream）內(nèi)核開發(fā)者審核的下游（downstream）代碼，增加了與內(nèi)存損壞有關(guān)的安全性錯(cuò)誤。

盡管這些下游定制代碼旨在增加設(shè)備的安全性，但是它們可能會(huì)帶來(lái)新的安全漏洞。例如，三星原本準(zhǔn)備增強(qiáng)內(nèi)核安全的代碼結(jié)果帶來(lái)了內(nèi)存損壞漏洞。2019 年 11 月，Google 向三星通報(bào)了這一漏洞。

雷鋒網(wǎng)注：圖源三星

據(jù)悉，該漏洞影響了三星的額外安全子系統(tǒng)，這個(gè)額外的系統(tǒng)名為 PROCA 或 Process Authenticator 。隨后，在 2020 年 2 月，三星表示已在手機(jī)更新程序中修復(fù)了該漏洞。

另外，值得一提的是，三星在 2 月份的手機(jī)系統(tǒng)更新中還包括一個(gè)針對(duì)“TEEGRIS 設(shè)備”中嚴(yán)重缺陷的補(bǔ)丁。據(jù)介紹，TEEGRIS 設(shè)備指的是搭載三星專有 TEE 操作系統(tǒng)的較新 Galaxy 手機(jī)上的可信執(zhí)行環(huán)境（TEE）；而 Galaxy S10 就是 TEEGRIS 設(shè)備之一。

在三星的描述中，SVE-2019-16132 （雷鋒網(wǎng)按：三星對(duì)該漏洞的代號(hào)）是一個(gè)并不嚴(yán)重的問(wèn)題，是由 PROCA 中的 Use-After-Free 和 Double-Free 漏洞組成，允許黑客在一些運(yùn)行 Android 9.0 和 10.0 的 Galaxy 手機(jī)上“執(zhí)行任意代碼”。

不過(guò)，在 Jann Horn 看來(lái)，他更關(guān)注 Android 如何減少智能手機(jī)供應(yīng)商向內(nèi)核添加獨(dú)特代碼帶來(lái)的安全問(wèn)題。Jann Horn 進(jìn)一步補(bǔ)充說(shuō)明：

Android 已經(jīng)通過(guò)鎖定哪些進(jìn)程可以訪問(wèn)設(shè)備驅(qū)動(dòng)程序來(lái)降低此類代碼的安全影響。這些設(shè)備驅(qū)動(dòng)程序通常是針對(duì)特定智能手機(jī)供應(yīng)商的。

比如說(shuō)，較新的 Android 手機(jī)通過(guò) Android 中專用的助手進(jìn)程——統(tǒng)稱為硬件抽象層（HAL）——訪問(wèn)硬件。但 Jann Horn 認(rèn)為，智能手機(jī)供應(yīng)商修改 Linux 內(nèi)核代碼的工作方式會(huì)破壞上述努力。

不僅如此，Jann Horn 還表示，手機(jī)制造商應(yīng)該使用 Linux 已經(jīng)支持的直接硬件訪問(wèn)功能，而不是定制 Linux 內(nèi)核代碼。同時(shí)，Jann Horn 還指出，三星增加的一些定制功能是不必要的，如果它們被刪除了，也不會(huì)影響設(shè)備的安全性。

據(jù) Jann Horn 的推測(cè)，PROCA 是為了限制已經(jīng)獲得內(nèi)核讀寫訪問(wèn)權(quán)限的攻擊者。但他認(rèn)為，三星可以通過(guò)引導(dǎo)工程資源，從一開始就阻止攻擊者獲得這種訪問(wèn)權(quán)限，從而提高效率。

Jann Horn 解釋說(shuō)：

我認(rèn)為，特定設(shè)備的內(nèi)核修改最好上移到用戶空間驅(qū)動(dòng)程序中，因?yàn)樵谟脩艨臻g驅(qū)動(dòng)程序中，它們可以用更安全的編程語(yǔ)言和 sandboxed 來(lái)執(zhí)行，同時(shí)也不會(huì)使更新的內(nèi)核版本復(fù)雜化。

雷鋒網(wǎng)按：本文編譯自 ZDNet 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。