G.O.S.S.I.P 阅读推荐 2024-12-20 Android芯片组相关漏洞总结报告2025版

主要观点总结

本文总结了NDSS 2025的论文《Vulnerability, Where Art Thou? An Investigation of Vulnerability Management in Android Smartphone Chipsets》，重点关注Android设备芯片组的安全漏洞（简称“芯片组相关漏洞”）。文章对芯片组相关漏洞的引入方式、发现者、修复情况及其危害程度进行了全面研究，涉及从2009年到2024年的相关数据。研究涵盖了主流Android SoC厂商，包括紫光展锐、高通、三星和联发科的产品。文章还讨论了安全团队的重要性以及bug-bounty对消除安全漏洞的影响。

关键观点总结

关键观点1: 研究背景及目的

文章是对近年来Android安全漏洞的年度回顾，特别是针对芯片组相关漏洞的深入研究，旨在理解其来源、影响及修复过程。

关键观点2: 研究内容及方法

研究收集了3676个不同的芯片组相关漏洞，涉及四大Android SoC厂商。通过统计和分析，回答了芯片组相关漏洞如何被引入、何时修复等问题，并研究了漏洞影响到的组件。

关键观点3: 关键发现

研究发现，平均每个类型的SoC对应大量的漏洞，其中大部分是祖传问题。高通和三星在安全方面投入较多，内部发现的漏洞比例较高。然而，紫光展锐和联发科在组建安全团队和漏洞披露方面还有待提高。

关键观点4: 作者的观点和建议

作者建议芯片厂商加大安全投入，重视内部安全团队的建设，并鼓励组建专业安全团队。同时，作者也讨论了bug-bounty对消除安全漏洞的影响，并给出了一些有趣的讨论和建议。

文章预览

从Android系统诞生的第一天起，安全研究人员就不停发现和收集安全漏洞（大家可以去考古一下最早的一篇Android安全研究论文是什么时候发表的，而第一台Android手机是什么时候发布的），这一过就是差不多20年了，每到快到新年可能Android厂商都会许愿说明年能不能不要再有新漏洞了，然而实际情况是这几年每年的学术研究会议上都会有文章去回顾最近的Android漏洞发现和修复的“盛况”，今天我们就给大家带来2025年版本的Android安全漏洞总结，当然这篇来自NDSS 2025的论文  Vulnerability, Where Art Thou? An Investigation of Vulnerability Management in Android Smartphone Chipsets  有所聚焦，重点关注的是Android设备芯片组的安全漏洞（简称“芯片组相关漏洞”，这些漏洞一般都是高危）： 为什么我们说漏洞总结这种论文已经成了年经帖呢？先看下面这张表你就懂了，参考文献 ………………………………