据外媒Computerworld报道，Android安全团队成员杰夫·范德-斯图普(JeffVanderStoep)披露Android内核在安全方面的改进，它们有助于提高攻击AndroidNougat和未来Android版本的难度。

杰夫·范德-斯图普指出，被称作CONFIG_DEBUG_RODATA的全新配置选项，把内核内存划分为多个区域，限制可写入和可执行内存的容量。为了在内存中注入恶意代码，并以内核权限运行这些代码，黑客需要可写入和可执行的内存页面。

而另一项被称作CONFIG_CPU_SW_DOMAIN_PAN的配置选项，使得内核不能直接存取用户空间内存，提高黑客控制代码执行区域的难度。

范德-斯图普表示，通过覆盖更多数组类型，针对基于堆栈的缓冲区溢出缺陷的安全机制也得到改进。

媒体Computerworld表示，通过封杀对Perf系统等调试特性的缺省访问，Android内核攻击面一直在减小。Perf是一款性能监测、调优工具。在不破坏合法功能的情况下，第三方应用对IOCTL命令的访问也受到尽可能多的限制。

范德-斯图普说，“在报告的Android缺陷中，大多数出现在驱动程序中，利用这些缺陷需要用到ioctl系统调用。”

开 发者还“加固”了Android的媒体处理进程，过去一年，Android媒体处理进程被发现存在许多缺陷。这是通过一个名为seccomp的沙盒机制实 现的，seccomp首先出现在运行AndroidLollipop的Nexus设备上。在AndroidNougat中，所有设备都必须支持 seccomp

据了解，Android安全模式严重依赖作为其核心的Linux内核。Android开发者总是有兴趣增添安全特性，阻止潜在恶意代码感染内核——内核是Android中权限最高的领域。