谷歌喊话三星：别再搞 Linux 内核代码了，安卓安全也不保了

谷歌 Project Zero 团队表示，三星为阻止 Galaxy 手机遭攻击而修改了内核代码，但实际上引发了更多的安全漏洞。

谷歌安全研究员 JannHorn 表示，不单是智能手机制造商如三星等通过添加下游定制化驱动实现对安卓 Linux 内核的直接硬件访问权限而制造了更多的漏洞问题，而且厂商使用 Linux 内核中已经存在的安全功能会更好。

Horn 在三星 Galaxy A50 安卓内核中找到的正是这种类型的错误。但他表示，三星的做法在所有智能厂商中非常常见，它们将代码添加到 Linux 内核代码下游中，而上游内核开发者并未对其进行审计。

即使当这些下游定制化旨在提升某设备的安全性，但它们也带来了新的安全漏洞问题。三星在内核安全缓解措施中引入了一个内存损坏漏洞，而该漏洞是谷歌在11月份报告给三星的。

三星在2月份发布的安全更新中已经修复了 Galaxy 手机中的漏洞问题 (SVE-2019-16132)，它影响三星的额外安全子系统 PROCA （或称为 Process Authenticator）。该漏洞是由PROCA 中的释放后使用和双重释放漏洞组成的中危漏洞，可导致在运行安卓 9.0 和10.0 的某些 Galaxy 设备上“执行任意代码”。

很偶然地，三星在2月份发布的更新还修复了存在于“TEEGRIS 设备”中的一个严重漏洞。TEE 即更新的Galaxy 手机上的受信任执行环境，它包含三星的专有 TEE 操作系统。GalaxyS10 也是其中的一种TEEGRIS 设备。

Horn 新发布的博客文章主要关注安卓所采取的降低厂商向内核增加唯一代码所带来的影响。Horn 解释称，“安卓一直通过锁定能够访问设备驱动的进程来限制这类代码产生的安全影响。这些驱动一般随厂商的不同而不同。”

例如，更新的安卓手机通过专门的帮助进程（被统称为 Hardware Abstraction Layer (HAL)）访问硬件。但 Horn 表示修改了 Linux内核核心部门的运作方式后会破坏“锁定攻击面”所发挥的作用。他建议手机制造商使用 Linux 支持的直接的硬件访问功能而非定制化 Linux 内核代码。

Horn 表示，三星添加的某些定制化功能是“不必要的”，如果将其删除则不会对设备产生任何影响。他认为 PROCA 旨在限制已经获得内核读写权限的攻击者。但他也表示三星如果能够将工程资源用于阻止攻击者获取这种权限会更有效。

Horn 解释称，“我认为如果将具体设备的内核修改上游化或者迁移到用户空间驱动将更好，它们可以以更安全的编程语言实现以及/或者沙箱化，同时不会使内核更新复杂化。”

https://www.zdnet.com/article/google-to-samsung-stop-messing-with-linux-kernel-code-its-hurting-android-security/

题图：Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。