大概所有安卓用户都不会想到，自己手机原来这么危险。

去年九月，复旦大学计算机学院教授杨珉和他的同事们整理提交了400多个漏洞给谷歌，但是这些漏洞一直到今年年底才被修复完。

这些漏洞还包括可以“市面所有活着的安卓设备变板砖”的高位漏洞。

文摘菌不禁掏出自己的安卓机，庆幸这一年多自己的手机没有变成板砖。

杨珉教授在在提交漏洞后给安卓安全团队发过多封邮件，结果收到的永远是Delay，不知道多少Delay后，谷歌才把漏洞给修复了。

并且，谷歌还希望杨教授“要保密”。

发现400多漏洞后，直接写了一篇论文

杨珉教授发现这400多漏洞可不是闲着没事找着玩的。

根据杨教授的介绍，这400多个漏洞都是他和同事们基于针对Android系统资源管理机制的系统性研究发现的，使用Android代码的相关厂商均受影响。

这一研究以一篇名为「Exploit the Last Straw That Breaks Android Systems」的论文发表于网络安全顶会IEEE S&P 2022。

文章摘要介绍道：

可以看到，这个名为Straw的设计漏洞可能招受严重的Dos攻击，让安卓设备崩溃，变成板砖，这个漏洞也被谷歌评为高严重性。

幸运的是，在谷歌姗姗来迟的补丁到来之前，这一漏洞没有被人利用进行大规模的破坏，否则就这个规模而言，后果是不堪设想的。

本来说好两个月，结果修复了16个月

在杨珉教授和团队提交漏洞之后，安卓安全团队回复将在两个月之内修复漏洞。但是结果却经过不停的Delay之后，一直拖到今年年底才宣布漏洞终于要修补完了。

那这个安卓安全团队为什么效率这么低呢，明明这个漏洞这么严重，但是修复的还这么慢？

答案是——漏洞太多了。

安卓安全团队除了负责修复漏洞外，也要负责发现漏洞，不过这一步除了靠内部发现，主要还是靠第三方报告来发现漏洞。

其中包括通过 Android 安全问题模板报告的问题、已发布和预发布的学术研究、上游开源项目维护人员、来自设备制造商合作伙伴的通知，以及博客或社交媒体中发布的已公开披露的问题。

不仅如此，谷歌还搞了一个Google Bug Hunters的平台，里面有个Bug猎人排行榜，就是为了鼓励大家努力找Bug。

结果这么一找，发现漏洞还不少，这一下安卓安全团队也忙坏了，几乎所有的漏洞更新都没有那么及时。

安卓安全团队修复漏洞的速度之慢被杨珉教授吐槽了一番，大家可以去他的微博看看，杨珉教授的本人的吐槽可太有意思了。

https://weibo.com/fdyangmin?profile_ftype=1&is_all=1

杨珉教授现任复旦大学计算机科学技术学院副院长，复旦大学中国网络空间战略研究所副所长，研究领域就是网络安全，主要包括恶意代码检测、漏洞分析挖掘、AI 安全、区块链安全、Web 安全和系统安全机制等。

本文来自微信公众号“大数据文摘”（ID:BigDataDigest），36氪经授权发布。