Google Project Zero：三星保护手机的作法反而让Android不安全

Google本周指出，三星为强化智能手机安全而对Android核心做的修改，反而引进更多漏洞，让手机更不安全。

Google为减少程式码存取Android的安全风险，于是限缩可存取装置驱动程式的行程。现代Android手机只能经由专门的行程才能存取资源，这也形成了硬件抽象层（Hardware Abstraction Layer，HAL）。但如果装置厂商修改了Android核心功能，就很难消除攻击面。

专精研究漏洞Google Project Zero研究人员Jann Horn指出，Android装置厂商经常在Android核心内加入独有的程式码，这类程式码往往导致安全漏洞的形成。

他以三星Galaxy A50 手机上发现的漏洞为例。三星为A50系列Android核心，加入了Process Authenticator（PROCA）的安全子系统来追踪行程的身份。但是当复杂的程式码pattern碰上子系统内几个逻辑错误，像是追踪的状态和实际行程状态不符合时，即可能造成内存不安全，例如Project Zero去年11月在A50手机的PROCA，发现到使用已释放内存（use-after-free）及双重释放（double-free）漏洞，影响Android 9.0及10.0。三星将该漏洞编码为SVE-2019-16132，风险层级为中度（moderate）。

Horn认为，三星在手机加入的某些客制功能不仅没必要，拿掉也没差。他也认为装置厂商对Android做的独门修改，最好放入沙箱中，或是移到使用者空间（userspace）的驱动程式，因为可以较安全的语言实作。不但安全也不会妨碍新版核心的更新。

在收到Google的通报后，三星本月释出的安全更新中，修补了SVE-2019-16132在内的近50个漏洞，其中还包括二项重大（critical）漏洞。