Google最近启动了一个新的Issue Tracker,并且在其所有新软件中,肯定会存在许多尚未引起开发人员注意的错误。最近,一个名为Alex Birsan的安全研究人员开始注意到,他的漏洞报告正在通过在平台内打开一个线程来处理。出于好奇,研究人员开始尝试“破解”它,结果是产生了一个漏洞,该漏洞使某人可以查看Google内部已知的,未修补的漏洞的完整列表。
我们每个人每个月都在谈论Android的每月安全更新,因此他们中的许多人都很熟悉。但是有些人可能没有意识到进入整个周期的过程。通常,安全研究员会发现该漏洞,然后与Google联系,然后通过Android赏金计划对其进行验证。双方同意在何时公开发布时间表,届时Google通常可以在开始更新Nexus和Pixel设备之前的一个月内,将补丁发送给第三方OEM。
这意味着,在任何给定的时间,Google Issue Tracker都会列出未修补的漏洞列表,这些漏洞在错误的人手中可能非常危险。这不仅在Android设备上发生,因为Google将此问题跟踪工具用于其所有服务。Birsan先生在Google Issue Tracker中发现了三个漏洞,这三个漏洞中最大的漏洞使他们可以查看Google内已知的,未修补的漏洞的完整列表。
值得庆幸的是,Birsan先生就这些漏洞与Google联系,并且Google很快(在几个小时内)做出响应并修复了这些漏洞。该公司表示,到目前为止,还没有发现任何证据可以使他们相信其他人发现了这些漏洞并加以利用。对于那些对细节更感兴趣的人,您肯定会想要阅读他在最近的Medium文章中的经验。