Google 點名三星:做了不必要的改動讓 Android 手機變不安全
文/記者黃敬淳/ 2020-02-18 12:28
據 Google 內部資安團隊「Google Project Zero」研究員 Jann Horn 的說法,三星一
些針對 Android 核心(Kernel)的動作,似乎可能造成 Android 系統變得更不安全。
雖然三星之所以做出這些修改,主要目的是想改善自家手機的安全性,但 Jann Horn
認為,這些涉及三星自行客製、用於訪問 Android Linux 核心的驅動程式,反而製造
了更多的安全漏洞。
Jann Horn 舉例,由於三星對核心的更動不需要通過上游核心開發者的審核就能通過,
其開發的安全子系統「Process Authenticator」(PROCA),反而帶來了一些與記憶體
有關的安全問題,導致 Galaxy A50 在內的特定 Android 9、Android 10 三星手機,
可以被執行「任意程式碼」。
這個由 Google 在去年底向三星報告的漏洞,甚至被三星自己公佈並推送安全更新,同
時將其風險標示為「中級」。
Jann Horn 也認為,這些更動其實沒有必要,即使刪除也不會影響裝置,而實際上,
Google 目前也針對 Android 系統做出更高的加密,以限定各家 Android 品牌對核心
的訪問權,不過為了創造產品的獨特性,許多 Android 品牌仍會嘗試大幅修改
Android 的架構。
Jann Horn 也建議 Android 手機商應使用既有的硬體訪問功能,而不是更改其核心程
式碼,例如與其修改核心、開發 PROCA 來阻止已獲得核心讀寫權限的駭客進一步攻擊
,不如先考慮不讓駭客獲得讀寫權限。
想打造獨家的 Android 客製系統,也最好採用「沙盒」這類不會影響核心運作與更新
的方式。
https://3c.ltn.com.tw/news/39564
心得:
這自然是有點兩難的事情,Google希望各家不要亂改自己的Android
而各家廠商為了做出自己的獨特性並讓消費者依賴則是會拿出不一樣的東西出來
但是安全性就得要仔細注意了