Google memberi tahu Samsung untuk berhenti membuat perubahan di Android

Google telah mengecam beberapa produsen ponsel terkemuka karena mengubah kode kernel Linux dalam platform Android-nya.

Menurut tim keamanan Project Zero Google, beberapa pembuat ponsel telah mengotak-atik perangkat lunak untuk membuat perangkat mereka lebih aman – namun, dalam prosesnya, sebenarnya membuat ponsel rentan terhadap bug keamanan yang serius.

Ini termasuk Samsung, yang mengutak-atik kernel Android Linux telah mengakibatkan perangkat perusahaan terpapar berbagai ancaman.

Menciptakan kerentanan

Google telah menyarankan agar produsen menggunakan fitur keamanan bawaan Android daripada membuat perubahan yang tidak perlu pada kernel inti.

Mengutip contoh Samsung Galaxy A50, Jann Horn dari Google mengungkapkan bahwa saat melakukan perubahan ini, Samsung menambahkan driver khusus, sehingga menciptakan akses langsung ke kernel. Meskipun ini dimaksudkan untuk meningkatkan keamanan pada perangkat, hal ini menimbulkan bug kerusakan memori.

Samsung menggambarkan bug tersebut sebagai masalah moderat yang terdiri dari kerentanan penggunaan setelah bebas dan bebas ganda pada perangkat yang menjalankan Android 9 Pie dan Android 10 dan memengaruhi subsistem keamanan PROCA (Process Authenticator) perusahaan. Bug ini telah ditambal dengan pembaruan pada pembaruan Februari baru-baru ini oleh perusahaan.

Posting Horn juga menunjukkan bahwa perubahan kernel khusus perangkat sering menjadi sumber kerentanan dan menyebutnya “tidak perlu” yang meniadakan pekerjaan Google dalam membuat OS aman.

Dia menyoroti contoh lain dari Samsung yang menyatakan bahwa salah satu perubahan pada perangkat ditujukan untuk membatasi penyerang yang memperoleh “baca / tulis kernel sewenang-wenang.” Menyebut perubahan ini sebagai “sia-sia”, dia menyebutkan bahwa sumber daya teknik dapat dimanfaatkan dengan lebih baik jika memastikan bahwa seorang peretas bahkan tidak mencapai titik ini.

Dia menyimpulkan dengan seruan bahwa “idealnya, semua vendor harus beralih ke penggunaan, dan sering menerapkan pembaruan dari, kernel upstream yang didukung.”

Melalui: Proyek Google Nol (terbuka di tab baru)