日前谷歌旗下安全实验室发布警告称如果三星继续在安卓系统里修改内核源代码可能会带来更多潜在的安全漏洞。
发布这则警告的原因在于谷歌安全实验室诸如三星等智能手机制造商存在非常普遍的修改安卓内核源代码的问题。
通常制造商修改安卓内核源代码的目的在于添加自定义的驱动程序,但是这也会导致内核许多安全策略直接失效。
目前研究人员已经在三星定制的安卓系统里发现潜在的安全问题,为此谷歌也发布警告提醒制造商不要再这么做。
修复漏洞的同时带来新漏洞:
安卓基于Linux 操作系统开发因此在内核方面也是相同的,而内核本身非常复杂因此需多名开发者共同进行维护。
谷歌发现三星在解决某些安全漏洞时会添加自定义的驱动程序,这些驱动程序并没有经过内核开发者们进行审核。
尽管三星确实没有义务将添加的上下游代码提交审核,但三星定义的这些驱动程序可以让硬件直接访问内核部分。
而未经普遍性的验证这就有可能会造成内核安全功能失效,进而增加有关内核部分的内存损坏相关的安全性错误。
也就是这类修复方法虽然表面上确实将某些已知安全漏洞修复,但在不知不觉中又导致某些暂时还未发现的漏洞。
谷歌不希望自己的努力被破坏:
实际上在安卓系统的内核层面谷歌也花费大量时间进行调整,基于Linux 内核又结合安卓系统为其添加安全功能。
而制造商这种类似魔改的策略会让谷歌乃至Linux 内核项目组的工作白费,又让广大安卓用户暴露在安全风险中。
反过来出现新的安全漏洞时三星等制造商又需要花费时间进行修复,然后魔改般的修复策略又可能带来新的漏洞。
所以谷歌安全实验室的研究人员提醒制造商要遵循标准流程进行修复,不然会让安卓系统千疮百孔毫无安全可言。
这家伙太懒了,什么也没留下。
