「DarkNavy深蓝洞察」2022年度十大漏洞与利用之最缺失责任人漏洞

2023-06-04 来源:旧番剧

「DarkNavy深蓝洞察」2022年度十大漏洞与利用之最迟来的漏洞利用
本篇为《深蓝洞察 | 2022 年度十大安全漏洞与利用》的第四篇。
买了一部最新款的手机，系统也升级到了最新版本，但还是因为半年前就已公开、存在大量在野利用的漏洞而被攻击。究竟谁该为此负责？
这个场景不是第一次出现。
但在 2022 年，行业巨头的漠视与不作为，再次凸显了漏洞责任人机制的缺失。

系统碎片化是安卓生态的顽疾。
与碎片化相比，安卓设备复杂的软硬件供应链关系也是导致和加剧很多安全问题的根源，GPU 就是一个例子。
操作系统、GPU 驱动芯片厂商、安卓设备厂商之间很难保持一致的步调。
根据 Google Project Zero 的统计，2021 年针对安卓系统的在野利用中，攻击了 7 个 0-day 漏洞，其中 5 个都位于 GPU 驱动中。

2022 年，GPU 驱动的安全性并没有显著改善。GPU 与 CPU 之间复杂的物理内存管理和共享关系、GPU 驱动与用户态应用复杂的交互通道，使得 GPU 依然是安卓系统非常脆弱的一环。
这一年里，ARM Mali、Qualcomm Adreno、PowerVR 等主流 GPU 驱动都相继曝出很多漏洞。
尤其值得一提的是，与传统内存安全漏洞不同，GPU 漏洞经常引起物理页面的使用错误，导致用户态 App 获取对释放后的物理页面的任意读写，进而转化为对特权页面的读写操作，以至于基于虚拟地址的内存安全机制很难阻止这类攻击。
这类问题在不同 GPU 厂商的代码里频繁发生，显示出强大的共性漏洞特征。
有漏洞不可怕，有漏洞却无法及时修复才可怕。
安卓生态的长供应链导致漏洞很难及时修复的现象在 GPU 这个案例上格外明显。
即便上游厂商能第一时间发布安全补丁，漫长的供应链关系也严重延滞了这些补丁最终的部署和生效。
从 GPU 驱动厂商获知漏洞、发布补丁，到最终设备厂商发布补丁，可能需要半年以上时间！

这个时间范围内，攻击者可以轻松的从 GPU 驱动厂商发布的补丁、公告信息中重现漏洞、构造攻击，然后轻松攻击市场上全副武装补丁的最新安卓设备！
Google 的 Project Zero 有严格的漏洞披露政策，试图通过强制公开漏洞细节的形式迫使厂商加快漏洞修复过程。但是在安卓 GPU 这个案例里，Project Zero 的漏洞披露政策显得十分尴尬。
2022 年，Project Zero 在 ARM Mali GPU 驱动中发现多个安全漏洞，报告给 ARM 团队后，ARM 团队积极修复，很快就发布了补丁。然而，这些安全修复根本无法及时下发到终端设备上，其中就包括 Google 自家的安卓手机 Pixel。Project Zero 只好通过撰写博客的形式，呼吁安卓设备厂商尽量压缩补丁时间差，甚至在无奈之下直接点名了包括自家 Pixel 在内的几家厂商，含蓄地谴责了他们的“偷懒”行为。

这几个 ARM Mali GPU 漏洞的影响，国内的安卓手机厂商自然几乎都逃不掉，除了华为，还没有哪一家做到了跨越补丁鸿沟第一时间修复。
这不是第一次，也不会是最后一次。这也许和安卓设备供应链中各个环节，包括手机厂商，大部分都还停留在“守好自己代码质量就好”的阶段有关。各个环节似乎都在自扫门前雪，结果往往就是漏洞修复过程的断裂和脱节。那么，谁来为安卓生态最终用户的安全负责？

GPU 漏洞的问题不是个例。
安卓生态里安全意识和技术能力参差不齐的 IoT 设备厂商不断增多，加剧了漏洞修复过程断裂脱节情况的发生。
行业巨头漠视和不作为、已知漏洞无法及时修复的现象一再发生，给整个数字化建设带来了极大的安全隐患。
汽车因为安全问题被召回，对于用户来说已不陌生。
产品召回机制已经成为汽车安全的重要保障手段。
但是在电子产品领域，还没有因为软件故障或漏洞而被强制召回的先例。
这也间接导致产品软件故障或漏洞责任人的缺失。
究竟谁才是设备安全的第一责任人？设备厂商作为最靠近用户的一环，是否要勇于承担起“第一责任人”的角色，才能让这个复杂的供应链安全问题有机会破局呢？
参考：
[1] https://googleprojectzero.blogspot.com/2022/04/the-more-you-know-more-you-know-you.html
[2] https://i.blackhat.com/USA-22/Wednesday/US-22-Jin-Android-Universal-Root.pdf
[3] https://github.blog/2022-06-16-the-android-kernel-mitigations-obstacle-race/
[4] https://github.blog/2022-07-27-corrupting-memory-without-memory-corruption
[5] https://googleprojectzero.blogspot.com/2022/11/mind-the-gap.html

下篇预告

一辆碰撞测试评价五星的汽车，
和一辆碰撞测试评价一星的汽车，
你会选择哪一辆？
一辆需要黑客花费半年甚至更长时间才能打开车窗的智能车，
和一辆只需知道车架号就能破解开走的智能车，
你又会如何选择？
请关注《深蓝洞察 | 2022 年度十大安全漏洞与利用》第五篇：

本期关键词
责任

我们常说，这个世界并非因为黑客才存在漏洞，恰恰是因为被黑客发现，漏洞才被消灭。
所以，我们一直鼓励研究员“只要负责热爱发现”就足够了，我们并不希望纯粹的技术人员背负“发现”以外更多的责任。
然而有例外。我们生活着的社会，它的美好，需要“能力越大，责任越大”的人。
加入 DarkNavy - iDN 深蓝创新，和我们一起，书写代码，守护未来。