Google lanzó hoy un nuevo programa que ha sido diseñado específicamente para administrar problemas de seguridad específicos de los OEM de Android. Los nuevos objetivos de la Iniciativa de vulnerabilidad de socios de Android harán que mejores teléfonos Android aún más seguro al solucionar problemas que afectan a los modelos de dispositivos fabricados por OEM.
Google tiene varios programas que permiten a los investigadores de seguridad informar cualquier vulnerabilidad de seguridad. Si bien las vulnerabilidades en el código de Android se pueden informar a través del Programa de recompensas de seguridad de Android (ASR), los problemas en aplicaciones de Android de terceros se pueden enviar a través del Programa de recompensas de seguridad de Play. Sin embargo, hasta ahora, no había forma de gestionar los problemas que afectaban solo a OEM de Android específicos.
Google dice que la Iniciativa de vulnerabilidad de socios de Android está alineada con ISO / IEC 29147: 2018 Tecnología de la información - técnicas de seguridad - Divulgación de vulnerabilidades
recomendaciones y cubre problemas que afectan el código del dispositivo que no repara o mantiene por sí mismo. APVI ya ha ayudado a procesar bastantes problemas de seguridad, incluidas las fugas de credenciales, la generación de copias de seguridad no cifradas y la ejecución de código en el kernel.Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
Google encontró un servicio de sistema personalizado en el marco de Android en algunas versiones de un tercero preinstalado por aire (OTA) solución de actualización, que permitió el acceso a API sensibles como habilitar o deshabilitar aplicaciones y otorgar aplicaciones permisos. El servicio se encontró en la base del código para muchas compilaciones de dispositivos en varios OEM. Google ha informado a los OEM del problema y los ha guiado sobre cómo pueden eliminar el código afectado. También encontró una vulnerabilidad de seguridad importante en un popular navegador web preinstalado en muchos dispositivos, lo que podría haber permitido que sitios maliciosos accedan a las contraseñas guardadas del usuario.
Puede encontrar más información sobre estos problemas y divulgaciones futuras. aquí.