Google ha lanciato oggi un nuovo programma progettato specificamente per gestire i problemi di sicurezza specifici degli OEM Android. I nuovi obiettivi di Android Partner Vulnerability Initiative renderanno il migliori telefoni Android ancora più sicuro risolvendo i problemi che interessano i modelli di dispositivi realizzati dagli OEM.
Google dispone di vari programmi che consentono ai ricercatori di sicurezza di segnalare eventuali vulnerabilità di sicurezza. Mentre le vulnerabilità nel codice Android possono essere segnalate tramite il Programma Android Security Rewards (ASR), i problemi nelle app Android di terze parti possono essere inviati tramite Gioca al programma Security Rewards. Fino ad ora, tuttavia, non era possibile gestire i problemi che interessavano solo specifici OEM Android.
Google afferma che la Android Partner Vulnerability Initiative è allineata a ISO / IEC 29147: 2018 Tecnologia dell'informazione - Tecniche di sicurezza - Divulgazione delle vulnerabilità consigli e copre i problemi che incidono sul codice del dispositivo che non si cura o gestisce da solo. L'APVI ha già aiutato a elaborare alcuni problemi di sicurezza, tra cui perdite di credenziali, generazione di backup non crittografati ed esecuzione di codice nel kernel.
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
Google ha trovato un servizio di sistema personalizzato nel framework Android in alcune versioni di un over-the-air preinstallato di terze parti (OTA) soluzione di aggiornamento, che ha consentito l'accesso ad API sensibili come l'abilitazione o la disabilitazione di app e la concessione di app permessi. Il servizio è stato trovato nel codice di molte build di dispositivi su più OEM. Google ha informato gli OEM del problema e li ha guidati su come rimuovere il codice interessato. Ha inoltre rilevato una grave vulnerabilità di sicurezza in un popolare browser Web preinstallato su molti dispositivi, che avrebbe potuto consentire a siti dannosi di accedere alle password salvate dell'utente.
È possibile trovare ulteriori informazioni su questi problemi e future divulgazioni Qui.