谷歌进一步揭露其提高安卓系统安全性的方法

所属趣点:android 动态

Trixie

2021-02-02 17:36:14


    为了确保移动端安卓操作系统的安全性,谷歌选择了一种“多管齐下”的方法。比如说每个月对其进行安全升级,从而修复上报到“漏洞奖励计划(VRP)”中的各种漏洞;或者是强化系统保护措施,从而防御未能发现的漏洞。

    所有提交到VRP中的漏洞都会经过谷歌公司安全工程师的分析,然后,这些工程师会确定每个漏洞产生的根源和严重性。同时,谷歌也会依赖于公司内部和外部提交的漏洞报告,从而判断漏洞成分,并找到导致漏洞发生的问题代码。

    不过,太过依赖于漏洞报告也会产生问题,因为安全研究人员经常会聚集于已经发现的漏洞,无法保证其它的漏洞都能得到有效解决。因此,谷歌内部的Red Teams主要负责分析那些容易被人忽视、或者是太过复杂的安卓漏洞,确保在修复漏洞的过程中真正实现面面俱到。

    另外,安卓虚拟机和物理设备上会大规模使用连续自动运行的小工具,从而确保尽早发现并修复漏洞。安全工程师也会对用这个方式找到的漏洞进行分析,确定其产生的根源以及严重性,从而做出相关的修复决策。

    2019年,在Android安全公告里得到修复的严重和高度严重的所有漏洞中,内存漏洞占比达到59%,紧随其后的就是一些可以绕过授权的漏洞,占比达到21%。为了避免内存漏洞进一步恶化,谷歌目前正在鼓励开发者使用Java、Kotlin和Rust等不会对内存产生影响的编程语言。

0
分享至
请在登录后评论
  • 全部回复
  • 只看楼主