杨珉是复旦大学计算机学院的一位教授，同时也是国家973科学家。

12月29日，杨教授发微博表示，他和他的同事们于去年9月向谷歌提交了400多个漏洞，一直到今年年底，这些漏洞才被修复，历时多达16个月。

但杨教授表示，本来谷歌团队是要在2个月内修复的，结果谷歌团队一直回复需要推迟解决。

究竟是什么样的bug让谷歌都要修复这么久呢？

据杨教授介绍，这些漏洞是“让据悉市所有活着的设备砖变头的高危漏洞”。这400多个漏洞都是根据他们基于Android系统资源管理机制的系统性研究而发现的。

所有使用代码的厂商都会受到这个漏洞的影响。的相关研究成果已经整理成论文《利用破坏Android系统的最后一根稻草》，被网络安全顶会IEEE S&P 2022收录：

文章摘要中介绍到，杨教授团队对Android系统服务中的数据存储过程进行了第一次系统的安全性研究，并因此发现了一类新的设计缺陷(名为Straw)，它可以导致严重的DoS (Denial-of-Service)攻击，例如，永久地使整个受害的Android设备崩溃。

可以看到，这个漏洞的危害性还是非常大的。谷歌将其评级为高严重性。

当然，除了漏洞的难度比较大以外，谷歌推迟这么久才解决，也跟他们要处理很多漏洞有关。作为一个庞杂的手机操作系统，它的bug也是一直不断出现。

在安卓官网的安全公告中，每个月都会有新的修复程序被推出。

大大小小数十个“严重”、“高”等级的漏洞被一一解决。而杨教授一次找出了400多个漏洞，确实是个不小的工程。所幸的是，目前这400个漏洞都已经被修复了。

值得一提的是，谷歌在回复杨教授的邮件中，还嘱咐他，对这些发现的bug要保密。我想说，与其害怕影响不好，不如脚踏实地地尽快解决。