Google heeft vandaag een nieuw programma uitgerold dat speciaal is ontworpen om beveiligingsproblemen die specifiek zijn voor Android-OEM's te beheren. De nieuwe doelstellingen van het Android Partner Vulnerability Initiative zullen de beste Android-telefoons nog veiliger door problemen op te lossen die van invloed zijn op apparaatmodellen die door OEM's zijn gemaakt.
Google heeft verschillende programma's waarmee beveiligingsonderzoekers eventuele beveiligingsproblemen kunnen melden. Hoewel kwetsbaarheden in Android-code kunnen worden gemeld via het Android Security Rewards-programma (ASR) kunnen problemen in Android-apps van derden worden ingediend via de Speel Security Rewards Program. Tot nu toe was er echter geen manier om problemen op te lossen die alleen van invloed waren op specifieke Android-OEM's.
Google zegt dat het Android Partner Vulnerability Initiative hierop is afgestemd ISO / IEC 29147: 2018 Informatietechnologie - beveiligingstechnieken - Openbaarmaking van kwetsbaarheden
aanbevelingen en behandelt problemen die van invloed zijn op apparaatcode die niet zelf worden onderhouden of onderhouden. De APVI heeft al geholpen bij het verwerken van nogal wat beveiligingsproblemen, waaronder lekken van inloggegevens, het genereren van niet-versleutelde back-ups en het uitvoeren van code in de kernel.Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe onbeperkte lijnen
Google vond een aangepaste systeemservice in het Android-framework in sommige versies van een externe vooraf geïnstalleerde over-the-air (OTA) update-oplossing, die toegang tot gevoelige API's mogelijk maakte, zoals het in- of uitschakelen van apps en het verlenen van apps rechten. De service is gevonden in de codebase voor veel apparaat-builds bij meerdere OEM's. Google heeft de OEM's bewust gemaakt van het probleem en hen begeleid bij het verwijderen van de betreffende code. Het vond ook een groot beveiligingsprobleem in een populaire webbrowser die vooraf op veel apparaten was geïnstalleerd, waardoor kwaadwillende sites toegang konden krijgen tot de opgeslagen wachtwoorden van de gebruiker.
U kunt meer informatie vinden over deze kwesties en toekomstige openbaarmakingen hier.