G.O.S.S.I.P 阅读推荐 2024-12-20 Android芯片组相关漏洞总结报告2025...

主要观点总结

本文总结了NDSS 2025的论文《Vulnerability, Where Art Thou? An Investigation of Vulnerability Management in Android Smartphone Chipsets》，重点关注Android设备芯片组的安全漏洞（简称“芯片组相关漏洞”）。文章对芯片组相关漏洞的引入方式、发现者、修复情况及其危害程度进行了全面研究，涉及从2009年到2024年的相关数据。研究涵盖了主流Android SoC厂商，包括紫光展锐、高通、三星和联发科的产品。文章还讨论了安全团队的重要性以及bug-bounty对消除安全漏洞的影响。

关键观点总结

关键观点1: 研究背景及目的

文章是对近年来Android安全漏洞的年度回顾，特别是针对芯片组相关漏洞的深入研究，旨在理解其来源、影响及修复过程。

关键观点2: 研究内容及方法

研究收集了3676个不同的芯片组相关漏洞，涉及四大Android SoC厂商。通过统计和分析，回答了芯片组相关漏洞如何被引入、何时修复等问题，并研究了漏洞影响到的组件。

关键观点3: 关键发现

研究发现，平均每个类型的SoC对应大量的漏洞，其中大部分是祖传问题。高通和三星在安全方面投入较多，内部发现的漏洞比例较高。然而，紫光展锐和联发科在组建安全团队和漏洞披露方面还有待提高。

关键观点4: 作者的观点和建议

作者建议芯片厂商加大安全投入，重视内部安全团队的建设，并鼓励组建专业安全团队。同时，作者也讨论了bug-bounty对消除安全漏洞的影响，并给出了一些有趣的讨论和建议。