12月29日,复旦大学计算机学院教授、国家973首席科学家杨珉在微博发文,称自己和同事们于去年9月向谷歌提交了400多个漏洞,16个月后谷歌安全团队终于修复完毕,不过此前谷歌安全团队曾宣称两个月内就能修复。

高危漏洞:让安卓设备瞬间变砖

据了解,杨珉及其同事所报告的漏洞并不是平平无奇的小漏洞,正如杨珉所说,这些漏洞是“一类让市面所有活着的安卓设备变砖头的高危漏洞”。

根据杨珉教授介绍,这400多个漏洞都是根据他们基于Android系统资源管理机制的系统性研究而发现的,所有使用安卓代码的厂商都将受到这一漏洞的影响。相关的研究成果已整理成论文《Exploit the Last Straw That Breaks Android Systems》,被网络安全顶会IEEE S&P 2022收录:

如文章摘要所述,这是一种名为Straw的与数据储存过程有关的设计缺陷。这一缺陷可通过77个系统服务影响474个相关接口,并因此生成Straw漏洞。而Straw漏洞可能导致各种临时或永久的DoS攻击,造成非常严重的后果,比如使用户的安卓设备永久崩溃。

这个漏洞不修是打算留着跨年?

据杨珉教授所说,他们所发现的漏洞于2020年9月提交。杨珉称,谷歌的安全团队原本宣称2个月就能修复,然而谷歌团队却频频放鸽子,一直以“难以修复该类漏洞”为由而推迟补丁发布。杨珉教授在微博发布了几封与安卓安全团队之间的往来邮件,从邮件可以看出,自漏洞提交以来,谷歌频频推迟了修复计划。

来自于杨珉个人微博

“在不知道收到多少次Delay通知后,我们提交的Android高危漏洞终于要修复完了。” 从漏洞提交到漏洞被谷歌修复,前后历时1年多。杨珉称:“这也算是个‘跨年’漏洞了。”

来自于杨珉个人微博

谷歌这次磨磨蹭蹭的修复引起了网友热议。

许多网友好奇,谷歌到底是真的没能力尽快修复漏洞呢还是故意为之?这究竟是漏洞还是后门呢?你怎么看?

参考链接:

  • https://weibo.com/fdyangmin
  • https://secsys.fudan.edu.cn/04/3d/c26976a394301/page.htm

复旦教授报告400多个安卓漏洞,历时16个月谷歌终于修复,此前曾立flag相关推荐

  1. 复旦教授发现400+安卓漏洞,最严重可使手机变砖,谷“鸽”16个月后才修复

    博雯 发自 凹非寺 量子位 报道 | 公众号 QbitAI 就离谱! 去年9月向谷歌提交的400多个漏洞,一直拖到今年年底才修复完. 而且还不是一般的小漏洞,是让"市面所有活着的安卓设备变砖 ...

  2. 360 android 漏洞,360发布安全报告 99.99%的安卓手机存在安全漏洞

    原标题:360发布安全报告 99.99%的安卓手机存在安全漏洞 [CNMO新闻]近日360互联网安全中心发布"2018年度安卓系统安全性生态环境研究报告",报告数据来自" ...

  3. 复旦教授徐英瑾:人工智能研究为何需要哲学参与? (上)

    欢迎大家前往腾讯云社区,获取更多腾讯海量技术实践干货哦~ 腾讯研究院 人工智能哲学作为一个行当,在国内基本上是还没有确立起来.总体来说国外的情况比我们好一点,马马虎虎算一个哲学分支.举个例子,玛格丽特 ...

  4. 国内首部智能设备安全报告:预计 2019 年漏洞增长率超 20%

    智能设备正在带来日益严重的安全问题,一份安全报告显示 2019 年智能设备的漏洞增长率将超过 20%,远远高于整体漏洞增长率. 11 月 27 日,360"安全大脑"发布了< ...

  5. 漏洞通告 |IBM发布9月更新, 修复墨云科技报告的漏洞

    IBM发布9月更新, 修复了旗下产品IBM WebSphere存在的中危漏洞(CVE-2022-35282),墨云科技建议广大用户做好资产自查以及预防工作,以免遭受恶意攻击. 墨云安全应急响应中心 时 ...

  6. 深度学习 - 强化学习 -迁移学习(杨强教授报告)

    李宏毅机器学习课程-Transfer Learning 深度学习 -> 强化学习 ->迁移学习(杨强教授报告) 链接: http://pan.baidu.com/s/1nu6DMRn 密码 ...

  7. android 服务端 漏洞,安卓漏洞 CVE 2017-13287 复现详解-

    2018年4月,Android安全公告公布了CVE-2017-13287漏洞. 与同期披露的其他漏洞一起,同属于框架中Parcelable对象的写入(序列化)与读出(反序列化)的不一致所造成的漏洞. ...

  8. Win10早期版本下月终止服务、百万医疗设备存在漏洞风险|11月10日全球网络安全热点

    安全资讯报告 REvil勒索软件的关联公司在全球范围内被抓捕 罗马尼亚执法当局宣布逮捕两名作为REvil勒索软件家族成员的人,这对历史上最多产的网络犯罪团伙之一造成了沉重打击. 据欧洲刑警组织称,据信 ...

  9. 美国政府与科技巨头讨论开源软件安全、近八万网站受开源软件漏洞影响|1月18日全球网络安全热点

    安全资讯报告 微软称"破坏性恶意软件"被用于对付乌克兰组织 微软表示,它发现了破坏性恶意软件被用来破坏乌克兰多个组织的系统.在周六发布的博客中,微软威胁情报中心(MSTIC)表示, ...

最新文章

  1. Go借助PProf的一次性能优化
  2. mysql中两种备份方法的优缺点_Mysql两种存储引擎的优缺点
  3. flink checkpoint 恢复_干货:Flink+Kafka 0.11端到端精确一次处理语义实现
  4. 搞事情的程序语法基础
  5. React + leaflet 地图瓦片 加载错乱 不能正常显示
  6. Ubuntu 14.04/16.04 与 Windows 10 周年版 Ubuntu Bash 性能对比
  7. Grails枚举一例
  8. html选择区域高亮,css+js实现部分区域高亮可编辑遮罩层
  9. ▲▲▲▲▲▲▲▲▲▲▲yum源的配置(本地和ftp)▲▲▲▲▲▲▲▲▲▲▲▲▲v...
  10. matlab 反应谱,matlab绘制反应谱
  11. 数学建模论文写作学习——数模论文概述
  12. unity3D学习之音频数据的采集要点-audio菜鸟笔记6
  13. 计算机九宫格游戏怎么玩,如何玩数独九宫格游戏(四)
  14. CS、BS架构定义(笔记)
  15. 安徽科技学院 信网学院网络文化节 丁舒
  16. 武汉计算机985211大学有哪些,湖北公认“最好”的7所大学,2所985,5所211,全部在武汉...
  17. Java Android 根据银行卡号判断银行名称
  18. 正则验证邮箱、手机号
  19. 专利大战:详解苹果三星矩形设计风波
  20. (帝国CMS)EmpireCMS v7.5前台XSS 漏洞复现

热门文章

  1. Windows命令实现匿名邮件发送
  2. 循环神经网络之LSTM、GRU
  3. 设计函数实现将一个字符串中小写字母转化为大写字母
  4. 【Python4CFD】笔记step9-12
  5. 瞬时频率函数matlab,瞬时频率估计的相位建模法及Matlab的实现
  6. Flink的检查点(checkpoint)
  7. outlook 网页版使用公共邮箱发送邮件
  8. JS下载文件|无刷新下载文件
  9. 超声波传感器(CH101ch201) - Ⅱ
  10. 云时代,租电脑还是初创型企业最好的选择吗?