:

Szerző: Hlács Ferenc

2020. október 5. 11:45

Új kezdeményezéssel javítaná az androidos telefonok védelmét a Google

Az APVI-n keresztül a gyártóspecifikus hibákat gyűjti össze és jelzi érintett partnerei felé a keresőóriás.

Új kezdeményezéssel növelné az Android ökoszisztéma biztonságát a Google: a vállalat APVI (Android Partner Vulnerability Initiative) projektje a gyártópartnerek okostelefonjain felbukkanó biztonsági problémák orvoslásában segítene, illetve a felhasználók felé is nagyobb transzparenciát ígér.

Az Android platform biztonsága sajnos máig hagy kívánnivalót maga után, arra nem csak rosszindulatú online felületek jelentenek veszélyt, de időről időre a Play Store védvonalain is átcsúsznak kártevők. A Google jelenleg is igyekszik különböző jutalomprogramokkal ösztönözni a biztonsági szakértőket, hogy találják meg, és jelezzék felé a platformját érintő biztonsági réseket, ilyen az Android rendszer sérülékenységeire kitűzött bug bounty az Android Security Rewards Program, röviden ASR, illetve a külső felektől származó appok elcsípett sebezhetőségeit jutalmazó Google Play Security Rewards Program is.

googapvi

Míg az appokban talált hibák csak a telepített bázist fenyegetik (persze népszerű alkalmazások esetén ez is rendkívül méretes lehet) az ASR-ben jelentett hibák azonban a teljes AOSP ökoszisztémát, azaz potenciálisan az összes androidos eszközt érinthetik. Az ASR-ben összegyűjtött sérülékenységekről ezért a Google rendszeres jelentéseket (Android Security Blletins - ASB) küld a gyártóknak, amelyek aztán a havi biztonsági frissítésekben orvosolják azokat - legalábbis ha a készülékek beállításai között a friss patch-szintet akarják feltüntetni.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

Eddig ugyanakkor nem volt egységes csatorna arra az esetre, az AOSP-on kívül eső, gyártóspecifikus biztonsági réseket fedeztek a Google szakértői. Ezt orvosolja az APVI, amellyel a keresőóriás szerint már sikerült is több hibát orvosolni, a jogosultságemelkedéses sebezhetőségektől a titkosítatlan biztonsági mentéseken át a kernelben történő illetéktelen kódfuttatásig. A Google által említett egyik példában egy meg nem nevezett gyártó népszerű, sok készüléken előre telepített böngészőjének jelszókezelőjén talált biztonsági rést, amelyet kihasználva egy kártékony oldal a felhasználók teljes mentett jelszókészletéhez hozzáférhetett, amelyet ráadásul gyenge titkosítás védett. Miután a Google jelezte a problémát, a böngésző fejlesztői egy frissítésben orvosolták is azt.

A kezdeményezés mindenképp előrelépés az Android biztonsága terén, remélhetőleg a Google megfelelő nyomást tud majd gyakorolni a gyártókra, hogy a felfedezett hibákat gyorsan befoltozzák - persze a cégnek nem lesz könnyű dolga, hiszen sok gyártó a havi biztonsági frissítések kiadását sem sieti el. A gyártóknak ugyanakkor plusz motivációt jelenthet, hogy a Google a felfedezett sebezhetőségekről, illetve azok javítási státuszáról az APVI kapcsolódó felületén is beszámol, ahol a felhasználók követhetik, érinti-e készülékeiket valamilyen ismert biztonsági rés.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról