初创公司 Zerodium 花了一个半月的时间才通过网络发现了 iPhone 上的零日漏洞。百万美元竞赛。在三星 Galaxy S6 Edge 上,事情显然要简单得多。去年 7 月,谷歌“零计划”黑客仅花了一周时间就发现了 11 个严重漏洞,使终端能够被远程攻击或通过虚假应用程序进行攻击,并访问照片、联系人、消息或地理位置等个人数据。
为了实现这一壮举,谷歌成立了两支五人小组,让他们相互对战,只是为了激发竞争精神。根据谷歌零计划协议,这些缺陷立即通知三星,三星有 90 天的时间纠正这些缺陷。事实上,必须澄清的是,所有这些缺陷都与三星的软件覆盖有关,而不是 Android 系统本身。去年十月发布了针对其中八个漏洞的补丁。其余三个漏洞预计将在11月底前被堵住。有关缺陷的技术详细信息可在 Google Project Zero 网站上找到。
阅读:零日计划:谷歌与精英团队一起开始寻找零日漏洞
据谷歌称,最脆弱的领域似乎是驱动程序和媒体管理。“很快,我们通过代码分析和模糊测试*发现了这些领域的问题。我们还惊讶地发现了三个易于利用的逻辑错误。”一位安全研究人员在博客中强调道。软件开发的质量显然不是三星的首要任务。但对于其他制造商来说,情况肯定也是如此。
* 模糊测试是一种通过向程序注入随机数据来测试程序漏洞的技术。
来源 :
