去年9 月向谷歌提交的400 多個漏洞，一直拖到今年年底才修復完。而且還不是一般的小漏洞，是讓“市面所有活著的安卓設備變磚頭”的高危漏洞。這些漏洞由複旦大學計算機學院的一位教授楊珉與他的同事們一起整理提交。

楊珉教授公開了幾封與Android安全團隊之間的往來郵件，表示自漏洞提交到被Google修復以來，不知道收到了多少次Delay：

嗯，就像是這樣的：

不幸的是，為了確保這個漏洞在發布前被完全解決，問題的修復被推遲了。

▲ 圖源微博楊珉_復旦大學

楊珉教授還吐槽到，本來Google團隊是要在2 個月內修復的，但事實是：

在不引入兼容性問題的前提下，開發一個解決該問題的修復方案所需的時間比預期的要長。

因此，Google暫定於2021 年11 月份發布（該問題的修復方案）。

▲ 圖源微博楊珉_復旦大學

啊這…… 到底是什麼樣的漏洞，讓Google也犯起了拖延症？

“跨年”漏洞

根據楊珉教授自己的介紹，這400 多個漏洞都是根據他們基於Android 系統資源管理機制的系統性研究而發現的。

所有使用Android代碼的廠商都將受到這一漏洞的影響。

相關的研究成果已整理成論文《Exploit the Last Straw That Breaks Android Systems》，被網絡安全頂會IEEE S&P 2022 收錄：

從文章的摘要來看，這是一種名為Straw 的與數據儲存過程有關的設計缺陷。

這一缺陷可通過77 個系統服務影響474 個相關接口，並因此生成Straw 漏洞。

而Straw 漏洞可能導致各種臨時或永久的DoS 攻擊，造成非常嚴重的後果，比如使用戶的Android設備永久崩潰。

楊珉教授和其同事將這一漏洞報告給Android安全團隊，Google將其評為“高嚴重級”。

之後的事情我們就知道了：Google一拖再拖，直到16 個月之後的今年年底，終於發來了一封“問題補丁即將公佈”的郵件：

▲ 圖源微博楊珉_復旦大學

在郵件中提到，這個漏洞的CVE ID 為CVE-2021-0934。

不過，目前不管是CVE 官網上，還是Android安全公告板12 月份最新發布的安全補丁中，都還沒有關於CVE-2021-0934 的詳細描述。

GoogleAndroid安全團隊

歷經16 個月，高危漏洞終於被修復。不用擔心自己手裡的Android機突然變磚固然是好，但也有網友吐槽到：

Google你到底行不行啊？

說好的還要再籌建一支新的Android 安全團隊，來進一步加速發現和修復Bug 的過程呢？

還有5 個月前剛剛搞的平台Google Bug Hunters，整了一個Bug 獵人排行榜，就是為了鼓勵更多人找Bug：

看起來確實有不少激勵作用，Android安全團隊的致謝名單自2018 年起就變成了按月列出。

翻開最近12 月份的致謝名單，國人工程師還不少。

不僅有來自360、阿里巴巴、字節跳動、清華大學的工程師，還有一些國內的個人開發者：

不過，在鼓勵開發者和白帽子們找Bug 的同時，還是希望Google能在新的一年改掉“拖延症”吧。

參考鏈接：

[1]https://weibo.com/fdyangmin?profile_ftype=1&is_all=1#_rnd1640826065880

[2]https://secsys.fudan.edu.cn/04/3d/c26976a394301/page.htm

[3]https://source.android.com/security/bulletin?hl=zh-cn