Új kezdeményezéssel javítaná az androidos telefonok védelmét a Google
Az APVI-n keresztül a gyártóspecifikus hibákat gyűjti össze és jelzi érintett partnerei felé a keresőóriás.
Új kezdeményezéssel növelné az Android ökoszisztéma biztonságát a Google: a vállalat APVI (Android Partner Vulnerability Initiative) projektje a gyártópartnerek okostelefonjain felbukkanó biztonsági problémák orvoslásában segítene, illetve a felhasználók felé is nagyobb transzparenciát ígér.
Az Android platform biztonsága sajnos máig hagy kívánnivalót maga után, arra nem csak rosszindulatú online felületek jelentenek veszélyt, de időről időre a Play Store védvonalain is átcsúsznak kártevők. A Google jelenleg is igyekszik különböző jutalomprogramokkal ösztönözni a biztonsági szakértőket, hogy találják meg, és jelezzék felé a platformját érintő biztonsági réseket, ilyen az Android rendszer sérülékenységeire kitűzött bug bounty az Android Security Rewards Program, röviden ASR, illetve a külső felektől származó appok elcsípett sebezhetőségeit jutalmazó Google Play Security Rewards Program is.
Míg az appokban talált hibák csak a telepített bázist fenyegetik (persze népszerű alkalmazások esetén ez is rendkívül méretes lehet) az ASR-ben jelentett hibák azonban a teljes AOSP ökoszisztémát, azaz potenciálisan az összes androidos eszközt érinthetik. Az ASR-ben összegyűjtött sérülékenységekről ezért a Google rendszeres jelentéseket (Android Security Blletins - ASB) küld a gyártóknak, amelyek aztán a havi biztonsági frissítésekben orvosolják azokat - legalábbis ha a készülékek beállításai között a friss patch-szintet akarják feltüntetni.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Eddig ugyanakkor nem volt egységes csatorna arra az esetre, az AOSP-on kívül eső, gyártóspecifikus biztonsági réseket fedeztek a Google szakértői. Ezt orvosolja az APVI, amellyel a keresőóriás szerint már sikerült is több hibát orvosolni, a jogosultságemelkedéses sebezhetőségektől a titkosítatlan biztonsági mentéseken át a kernelben történő illetéktelen kódfuttatásig. A Google által említett egyik példában egy meg nem nevezett gyártó népszerű, sok készüléken előre telepített böngészőjének jelszókezelőjén talált biztonsági rést, amelyet kihasználva egy kártékony oldal a felhasználók teljes mentett jelszókészletéhez hozzáférhetett, amelyet ráadásul gyenge titkosítás védett. Miután a Google jelezte a problémát, a böngésző fejlesztői egy frissítésben orvosolták is azt.
A kezdeményezés mindenképp előrelépés az Android biztonsága terén, remélhetőleg a Google megfelelő nyomást tud majd gyakorolni a gyártókra, hogy a felfedezett hibákat gyorsan befoltozzák - persze a cégnek nem lesz könnyű dolga, hiszen sok gyártó a havi biztonsági frissítések kiadását sem sieti el. A gyártóknak ugyanakkor plusz motivációt jelenthet, hogy a Google a felfedezett sebezhetőségekről, illetve azok javítási státuszáról az APVI kapcsolódó felületén is beszámol, ahol a felhasználók követhetik, érinti-e készülékeiket valamilyen ismert biztonsági rés.