Google a déployé aujourd'hui un nouveau programme spécialement conçu pour gérer les problèmes de sécurité spécifiques aux OEM Android. Les nouveaux objectifs de l'initiative Android Partner Vulnerability meilleurs téléphones Android encore plus sûr en résolvant les problèmes qui affectent les modèles d'appareils fabriqués par les OEM.
Google dispose de divers programmes qui permettent aux chercheurs en sécurité de signaler toute vulnérabilité de sécurité. Alors que les vulnérabilités dans le code Android peuvent être signalées via le Programme de récompenses de sécurité Android (ASR), les problèmes dans les applications Android tierces peuvent être soumis via le Jouez au programme de récompenses de sécurité. Jusqu'à présent, cependant, il n'existait aucun moyen de gérer les problèmes affectant uniquement des OEM Android spécifiques.
Google affirme que l'Initiative sur la vulnérabilité des partenaires Android est alignée sur ISO / CEI 29147: 2018 Technologies de l'information - Techniques de sécurité - Divulgation de vulnérabilité
recommandations et couvre les problèmes ayant un impact sur le code de l'appareil qu'il ne répare pas ou ne gère pas lui-même. L'APVI a déjà aidé à traiter un certain nombre de problèmes de sécurité, y compris les fuites d'informations d'identification, la génération de sauvegardes non chiffrées et l'exécution de code dans le noyau.Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Google a trouvé un service système personnalisé dans le cadre Android dans certaines versions d'un tiers préinstallé en direct (OTA) solution de mise à jour, qui a permis l'accès aux API sensibles telles que l'activation ou la désactivation d'applications et l'octroi d'applications autorisations. Le service a été trouvé dans la base de code pour de nombreuses versions d'appareils sur plusieurs OEM. Google a informé les OEM du problème et les a guidés sur la manière de supprimer le code concerné. Il a également découvert une faille de sécurité majeure dans un navigateur Web populaire préinstallé sur de nombreux appareils, ce qui aurait pu permettre à des sites malveillants d'accéder aux mots de passe enregistrés de l'utilisateur.
Vous pouvez trouver plus d'informations sur ces problèmes et les futures divulgations ici.