Сегодня Google представила новую программу, разработанную специально для решения проблем безопасности, характерных для OEM-производителей Android. Новые цели программы Android Partner Vulnerability Initiative сделают лучшие телефоны Android еще более безопасный за счет устранения проблем, которые влияют на модели устройств, изготовленные производителями.
У Google есть различные программы, которые позволяют исследователям безопасности сообщать о любых уязвимостях. Об уязвимостях в коде Android можно сообщить через Программа вознаграждений за безопасность Android (ASR), проблемы в сторонних приложениях для Android можно отправлять через Программа вознаграждений за безопасность Google Play. Однако до сих пор не было возможности решить проблемы, затрагивающие только конкретных производителей Android.
Google заявляет, что инициатива Android Partner Vulnerability Initiative соответствует ISO / IEC 29147: 2018 Информационные технологии. Методы безопасности. Раскрытие уязвимостей. рекомендации и охватывает проблемы, влияющие на код устройства, который он не обслуживает или не поддерживает. APVI уже помог обработать немало проблем безопасности, включая утечку учетных данных, создание незашифрованных резервных копий и выполнение кода в ядре.
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
Google обнаружил пользовательский системный сервис в платформе Android в некоторых версиях сторонних предустановленных по беспроводной сети (OTA) решение для обновления, которое позволило получить доступ к конфиденциальным API, таким как включение или отключение приложений и предоставление приложения разрешения. Сервис был найден в базе кода для многих сборок устройств от нескольких OEM-производителей. Google проинформировал производителей оборудования об этой проблеме и посоветовал им удалить затронутый код. Он также обнаружил серьезную уязвимость системы безопасности в популярном веб-браузере, предустановленном на многих устройствах, который мог позволить вредоносным сайтам получить доступ к сохраненным паролям пользователя.
Вы можете найти дополнительную информацию по этим вопросам и раскрытию информации в будущем. Вот.