安全团队怒斥手机厂商，系统漏洞为何被有意忽视

锌媒体 2022-11-30 09:52

如果有留意过手机厂商的系统更新日志，想必就会发现，" 修复漏洞 " 是一个会高频率出现的词。而对于经常关注科技资讯的朋友来说，对于 "XX 公司被爆在 XX 软件上存在漏洞，导致 XX 人或设备受到影响 " 这类消息，应该也是熟悉得不能再熟悉了。

此前在今年夏季，来自谷歌的互联网安全团队 ProjectZero 发现了多个来自 ARM Mali GPU 的漏洞。看起来这只是网络安全领域平平无奇的一件小事，但在数月后的却引发了不小的波澜。

日前，在 ProjectZero 团队发布的最新博客中，将矛头指向了 Android 手机厂商，并措辞严厉地谴责了这些厂商的偷懒行为，其中甚至就连谷歌自家的 Pixel 系列机型也没有放过。而原因其实也很简单，因此 Android 手机厂商并没有严肃对待这一系列的漏洞，在安全更新上 " 偷奸耍滑 " 了。

此前，ProjectZero 团队陆续发现了 5 个有关 ARM 处理器中 Mali GPU 的漏洞，其中编号为 CVE-2022-36449 的漏洞可以让非特权用户获得对只读存储器的写入权限。用相关研究人员的话来说，成功利用该漏洞可以允许攻击者获得执行本机代码的权限，进而获得对系统的完全访问，并绕过 Android 的权限模型，允许更广泛的访问用户数据。

在收到了来自 ProjectZero 的漏洞报告后，ARM 方面在今年 7-8 月期间修复了这些问题，发布了安全公告、并公布了修复的源代码。然而在 ARM 做到了应该做的事情后，手机厂商却几乎都无动于衷。Project Zero 团队日前表示，在 ARM 修复了这些漏洞几个月后，他们使用搭载了 Mali GPU 的测试设备仍然会受到这些问题的影响，CVE-2022-36449 在几乎任何手机厂商的安全公告中都没有被提到。

要知道，CVE-2022-36449 漏洞影响的是 ARM 过去三代的 Mali GPU 架构（Midgard、Bifrost，以及 Valhall），其范围覆盖了从目前出货的谷歌 Pixel 7 系列，一直可以向前追溯到 2016 年的三星 Galaxy S7，除了使用自研 GPU 的高通外，其他面向 Android 手机厂商供货的芯片厂商均牵涉其中。换而言之，几乎每一个 Android 手机厂商旗下可能都有数以百万量级的受影响设备存在。

如此看来，这次的事件不就是 Android 手机厂商将用户设备的安全当作儿戏吗。但其实谷歌估计也很无奈，目前 Android 系统的安全补丁更新是以月为单位，并且 Android 的月度安全更新也是公开发布的。然而 Android 手机厂商也有话要说，月度安全更新归更新，但将安全更新应用到自家的产品上则又是另外一回事。

事实上，系统更新一直以来都是 Android 生态中的一个痛点，核心原因就是相比于封闭的苹果 iOS 体系，Android 阵营的参与者要多得多，这既是当年 Android 得以快速铺开的优势，也是如今限制 Android 机型及时更新的问题所在。抛开双方都要面对的开发者适配应用问题，Android 阵营在系统更新上就有谷歌、芯片厂商，以及手机厂商三方加入，，并且后面两者的产品线都相当复杂，所以也造成了 Android 大版本更新的难度要远胜过 iOS。