:

Szerző: Hlács Ferenc

2020. október 5. 11:45

Új kezdeményezéssel javítaná az androidos telefonok védelmét a Google

Az APVI-n keresztül a gyártóspecifikus hibákat gyűjti össze és jelzi érintett partnerei felé a keresőóriás.

Új kezdeményezéssel növelné az Android ökoszisztéma biztonságát a Google: a vállalat APVI (Android Partner Vulnerability Initiative) projektje a gyártópartnerek okostelefonjain felbukkanó biztonsági problémák orvoslásában segítene, illetve a felhasználók felé is nagyobb transzparenciát ígér.

Az Android platform biztonsága sajnos máig hagy kívánnivalót maga után, arra nem csak rosszindulatú online felületek jelentenek veszélyt, de időről időre a Play Store védvonalain is átcsúsznak kártevők. A Google jelenleg is igyekszik különböző jutalomprogramokkal ösztönözni a biztonsági szakértőket, hogy találják meg, és jelezzék felé a platformját érintő biztonsági réseket, ilyen az Android rendszer sérülékenységeire kitűzött bug bounty az Android Security Rewards Program, röviden ASR, illetve a külső felektől származó appok elcsípett sebezhetőségeit jutalmazó Google Play Security Rewards Program is.

googapvi

Míg az appokban talált hibák csak a telepített bázist fenyegetik (persze népszerű alkalmazások esetén ez is rendkívül méretes lehet) az ASR-ben jelentett hibák azonban a teljes AOSP ökoszisztémát, azaz potenciálisan az összes androidos eszközt érinthetik. Az ASR-ben összegyűjtött sérülékenységekről ezért a Google rendszeres jelentéseket (Android Security Blletins - ASB) küld a gyártóknak, amelyek aztán a havi biztonsági frissítésekben orvosolják azokat - legalábbis ha a készülékek beállításai között a friss patch-szintet akarják feltüntetni.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Eddig ugyanakkor nem volt egységes csatorna arra az esetre, az AOSP-on kívül eső, gyártóspecifikus biztonsági réseket fedeztek a Google szakértői. Ezt orvosolja az APVI, amellyel a keresőóriás szerint már sikerült is több hibát orvosolni, a jogosultságemelkedéses sebezhetőségektől a titkosítatlan biztonsági mentéseken át a kernelben történő illetéktelen kódfuttatásig. A Google által említett egyik példában egy meg nem nevezett gyártó népszerű, sok készüléken előre telepített böngészőjének jelszókezelőjén talált biztonsági rést, amelyet kihasználva egy kártékony oldal a felhasználók teljes mentett jelszókészletéhez hozzáférhetett, amelyet ráadásul gyenge titkosítás védett. Miután a Google jelezte a problémát, a böngésző fejlesztői egy frissítésben orvosolták is azt.

A kezdeményezés mindenképp előrelépés az Android biztonsága terén, remélhetőleg a Google megfelelő nyomást tud majd gyakorolni a gyártókra, hogy a felfedezett hibákat gyorsan befoltozzák - persze a cégnek nem lesz könnyű dolga, hiszen sok gyártó a havi biztonsági frissítések kiadását sem sieti el. A gyártóknak ugyanakkor plusz motivációt jelenthet, hogy a Google a felfedezett sebezhetőségekről, illetve azok javítási státuszáról az APVI kapcsolódó felületén is beszámol, ahol a felhasználók követhetik, érinti-e készülékeiket valamilyen ismert biztonsági rés.

Az üzemeltetői szakmát számos nagyon erős hatás érte az elmúlt években. A történet pedig messze nem csak a cloudról szól, hiszen az on-prem világ is megváltozott.

a címlapról