近日復(fù)旦大學(xué)計(jì)算機(jī)學(xué)院的楊珉表示，他們團(tuán)隊(duì)去年9月向谷歌提交的 400 多個(gè)漏洞，一直拖到今年年底才修復(fù)完。而且還不是一般的小漏洞，是讓“市面所有活著的安卓設(shè)備變磚頭”的高危漏洞。

根據(jù)楊珉教授自己的介紹，這 400 多個(gè)漏洞都是根據(jù)他們基于 Android 系統(tǒng)資源管理機(jī)制的系統(tǒng)性研究而發(fā)現(xiàn)的。所有使用Android代碼的廠商都將受到這一漏洞的影響。相關(guān)的研究成果已整理成論文《Exploit the Last Straw That Breaks Android Systems》，被網(wǎng)絡(luò)安全頂會IEEE S&P 2022收錄。

從文章的摘要來看，這是一種名為Straw的與數(shù)據(jù)儲存過程有關(guān)的設(shè)計(jì)缺陷。這一缺陷可通過77個(gè)系統(tǒng)服務(wù)影響474個(gè)相關(guān)接口，并因此生成Straw漏洞。而Straw漏洞可能導(dǎo)致各種臨時(shí)或永久的DoS攻擊，造成非常嚴(yán)重的后果，比如使用戶的Android設(shè)備永久崩潰。楊珉教授和其同事將這一漏洞報(bào)告給Android安全團(tuán)隊(duì)，Google將其評為“高嚴(yán)重級”。