近日，Google Project Zero（GPZ）團隊向三星發(fā)出警告，如果三星在 Galaxy 系列手機中修改內(nèi)核代碼，將會暴露更多安全漏洞。

手機產(chǎn)商造成的安全漏洞

據(jù)了解，GPZ 研究員 Jann Horn 在三星 Galaxy A50 的安卓內(nèi)核中發(fā)現(xiàn)錯誤。Jann Horn 指出，像三星這樣的智能手機制造商會通過添加下游定制驅(qū)動程序來直接訪問 Android 的 Linux 內(nèi)核，結(jié)果造成了更多的安全漏洞。

同時，Jann Horn 還表示，三星的做法在所有智能手機廠商中相當(dāng)普遍——即手機廠商向 Linux Kernel 中添加未經(jīng)上游（upstream）內(nèi)核開發(fā)者審核的下游（downstream）代碼，增加了與內(nèi)存損壞有關(guān)的安全性錯誤。

盡管這些下游定制代碼旨在增加設(shè)備的安全性，但是它們可能會帶來新的安全漏洞。例如，三星原本準(zhǔn)備增強內(nèi)核安全的代碼結(jié)果帶來了內(nèi)存損壞漏洞。2019 年 11 月，Google 向三星通報了這一漏洞。

雷鋒網(wǎng)注：圖源三星

據(jù)悉，該漏洞影響了三星的額外安全子系統(tǒng)，這個額外的系統(tǒng)名為 PROCA 或 Process Authenticator 。隨后，在 2020 年 2 月，三星表示已在手機更新程序中修復(fù)了該漏洞。

另外，值得一提的是，三星在 2 月份的手機系統(tǒng)更新中還包括一個針對“TEEGRIS 設(shè)備”中嚴(yán)重缺陷的補丁。據(jù)介紹，TEEGRIS 設(shè)備指的是搭載三星專有 TEE 操作系統(tǒng)的較新 Galaxy 手機上的可信執(zhí)行環(huán)境（TEE）；而 Galaxy S10 就是 TEEGRIS 設(shè)備之一。

在三星的描述中，SVE-2019-16132 （雷鋒網(wǎng)按：三星對該漏洞的代號）是一個并不嚴(yán)重的問題，是由 PROCA 中的 Use-After-Free 和 Double-Free 漏洞組成，允許黑客在一些運行 Android 9.0 和 10.0 的 Galaxy 手機上“執(zhí)行任意代碼”。

不過，在 Jann Horn 看來，他更關(guān)注 Android 如何減少智能手機供應(yīng)商向內(nèi)核添加獨特代碼帶來的安全問題。Jann Horn 進(jìn)一步補充說明：

Android 已經(jīng)通過鎖定哪些進(jìn)程可以訪問設(shè)備驅(qū)動程序來降低此類代碼的安全影響。這些設(shè)備驅(qū)動程序通常是針對特定智能手機供應(yīng)商的。

比如說，較新的 Android 手機通過 Android 中專用的助手進(jìn)程——統(tǒng)稱為硬件抽象層（HAL）——訪問硬件。但 Jann Horn 認(rèn)為，智能手機供應(yīng)商修改 Linux 內(nèi)核代碼的工作方式會破壞上述努力。

不僅如此，Jann Horn 還表示，手機制造商應(yīng)該使用 Linux 已經(jīng)支持的直接硬件訪問功能，而不是定制 Linux 內(nèi)核代碼。同時，Jann Horn 還指出，三星增加的一些定制功能是不必要的，如果它們被刪除了，也不會影響設(shè)備的安全性。

據(jù) Jann Horn 的推測，PROCA 是為了限制已經(jīng)獲得內(nèi)核讀寫訪問權(quán)限的攻擊者。但他認(rèn)為，三星可以通過引導(dǎo)工程資源，從一開始就阻止攻擊者獲得這種訪問權(quán)限，從而提高效率。

Jann Horn 解釋說：

我認(rèn)為，特定設(shè)備的內(nèi)核修改最好上移到用戶空間驅(qū)動程序中，因為在用戶空間驅(qū)動程序中，它們可以用更安全的編程語言和 sandboxed 來執(zhí)行，同時也不會使更新的內(nèi)核版本復(fù)雜化。

雷鋒網(wǎng)按：本文編譯自 ZDNet 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。