Een van de grote conclusies van de recente Black Hat-beveiligingsconferentie was dat Google plannen aankondigde maandelijkse beveiligingsupdates uitbrengen, en dat het ernaar zou streven ons allemaal beter op de hoogte te houden.
Hoofdingenieur voor Android-beveiliging bij Google Adriaan Lodewijk heeft een grote stap in de goede richting aangekondigd met de oprichting van de Android Security Updates Google Group. De focus van de groep is om meer informatie te geven over beveiligingsproblemen en bulletins, en het eerste bericht geeft precies aan wat er in de huidige update voor Nexus-apparaten staat.
Een snelle blik leert dat ze de "Plankenkoorts" problemen behoorlijk serieus, en ze beschrijven precies waarom het een probleem is, waar de patches in de codeboom staan, wanneer zij (en partners) voor het eerst werden geïnformeerd en wanneer ze begonnen met het patchen van Nexus-apparaten. Het is technisch, want het moet technisch zijn. Maar het is ook de moeite waard om te lezen als u zich zorgen maakt over beveiliging en Android.
In aflevering 248 van de Android Central-podcast hebben we uitgebreid gesproken over hoe mediakanalen (waaronder wijzelf) niet echt gekwalificeerd om de meeste beveiligingsproblemen te ontleden, en hoopte op meer transparantie van de mensen die gekwalificeerd zijn - zoals Lodewijk. We zijn behoorlijk enthousiast over het feit dat we vanaf nu een historisch overzicht van beveiligingsbulletins en hun patches hebben. Dit is een geweldige bron voor iedereen, niet alleen voor mensen die als journalist beveiliging en Android proberen te begrijpen. Het is niet perfect, maar het is een goed begin.
We hopen dat de leveranciers die de meeste Android-telefoons maken, hier het voorbeeld volgen. Google vertelt ons over updates en patches voor de Nexus-lijn en hun relevante patches voor AOSP is geweldig, maar weten wanneer Samsung of LG of Motorola gaat de fixes opnemen, welke telefoons worden gepatcht en wanneer ze van plan zijn updates te verzenden, is net zo belangrijk, zo niet meer.
Voor nu is dit allemaal verplicht leesvoer voor iedereen die in de toekomst een serieuze discussie wil voeren over Android-beveiliging.
Lees hier de Google-groep over Android-beveiligingsupdates
Afbeeldingsbron: Ludwig's BlackHat-dia's