新創公司 Zerodium 花了一個半月的時間才透過網路發現了 iPhone 上的零日漏洞。百萬美元競賽。在三星 Galaxy S6 Edge 上,事情顯然要簡單得多。去年 7 月,Google「零計畫」駭客僅花了一周時間就發現了 11 個嚴重漏洞,使終端能夠被遠端或透過虛假應用程式入侵並存取照片、聯絡人、訊息或地理位置等個人資料。
為了實現這項壯舉,Google成立了兩支五人小組,讓他們互相對戰,只是為了激發競爭精神。根據Google零計畫協議,這些缺陷立即通知三星,三星有 90 天的時間糾正這些缺陷。事實上,必須澄清的是,所有這些缺陷都與三星的軟體覆蓋有關,而不是 Android 系統本身。去年十月發布了針對其中八個漏洞的修補程式。其餘三個漏洞預計在11月底前被堵住。有關缺陷的技術詳細資訊可在 Google Project Zero 網站上找到。
據谷歌稱,最脆弱的領域似乎是驅動程式和媒體管理。「很快,我們透過程式碼分析和模糊測試*發現了這些領域的問題。我們還驚訝地發現了三個易於利用的邏輯錯誤。一位安全研究人員在部落格中強調。軟體開發的品質顯然不是三星的首要任務。但對於其他製造商來說,情況肯定也是如此。
* 模糊測試是一種透過向程式註入隨機資料來測試程式漏洞的技術。
來源 :
