Google Project Zero hävdar att Samsungs ansträngningar för att skärpa säkerheten på Galaxy-smartphones faktiskt utsätter dem för fler säkerhetshål. Problemet, enligt forskarna, är främst ändringarna av Androids Linux-kärna, som hotar säkerheten i operativsystemet.
”Linux-kärnkoden är ibland stel – och ändringar av baskoden, särskilt i ett fort som inte är förverifierat, kan enkelt införa subtila problem, även när dessa ändringar var avsedda att implementera ”säkerhetsfunktioner”, förklarar cybersäkerhetsforskaren Jann Horn. Google Project Zero beskriver i en lång analys, konsekvenserna av vissa modifieringar av kärnan som utförs av vissa tillverkare, särskilt Samsung.
Ursprungligen var författaren intresserad av ett fel som ledde till minneskorruption i Android-kärnan i Galaxy A50 ROM. Men också till det faktum att en andra sårbarhet, korrigerad för länge sedan i andra versioner av Android uppströms – men inte i Android-kärnan på Samsung-smarttelefoner – bidrar till att göra den första buggen exploaterbar av hackare. Tillverkare är faktiskt vana vid att ändra Android-kärnan för att anpassa den till olika modeller av smartphones.
Problemet är att leverantörer ofta modifierar kärnan direkt, snarare än att vara nöjda med Hardware Abstraction Layer (HAL) vilket begränsar effekten av säkerhetsöverträdelser som resulterar i modifieringar specifika för enheten. Felet som ledde till minneskorruption var dock paradoxalt nog resultatet av Samsungs försök att stärka säkerheten. Felet har under tiden patchats, men frågan som forskaren ställer är hur man i detta sammanhang kan minska ytan på attacker för potentiella hackare.
“Jag tror att enhetsspecifika kärnändringar skulle göra det bättre att antingen flyttas uppströms eller till drivrutiner för användarutrymme, där de kan implementeras på enklare och / eller sandbox-programmeringsspråk, och att de samtidigt inte kommer att kunna komplicera uppdateringar av nyare versioner av kärnan ”, avslutar forskaren.
Läs också: Samsung är inte skyldigt att rulla ut Android-säkerhetsuppdateringar till äldre smartphones
Forskarens analys och dess konsekvenser är ganska komplexa, men om du vill gräva djupare rekommenderar vi att du läser Jann Horns inlägg på Project Zero’s blogpost.
Källa: Google Project Zero
