Google объявила о новой инициативе, направленной на повышение безопасности устройств Android, поставляемых другими производителями. Программа, получившая название Android Partner Vulnerability Initiative (AVPI), будет публично перечислять уязвимости системы безопасности, обнаруженные Google на партнерских устройствах. AVPI будет «способствовать исправлению ситуации и обеспечивать прозрачность для пользователей» в отношении проблем безопасности на их телефонах.
У Google есть несколько программ, с помощью которых разработчики могут сообщать об уязвимостях своей команде безопасности. Программа Android Security Rewards (ASR) позволяет разработчикам сообщать об уязвимостях в коде Android, в то время как об уязвимостях в сторонних приложениях Android можно сообщать через программу Google Play Security Rewards.
Затем Google публикует отчеты ASR в коде на основе Android Open Source Project (AOSP) через бюллетени по безопасности Android (ASB). Проблемы, опубликованные в отчетах ASR, могут повлиять на все устройства Android, и, следовательно, OEM-производители должны принять изменения ASB перед развертыванием уровня исправлений безопасности Android (SPL) текущего месяца.
Программа AVPI теперь добавляет еще один уровень безопасности для устройств Android. Как заявляет Google, ранее у него не было четкого способа обработки проблем безопасности, обнаруженных на партнерских устройствах за пределами кода AOSP. Эти проблемы обычно «уникальны для гораздо меньшего числа конкретных OEM-производителей Android».
Новая инициатива предложит дополнительный уровень безопасности для этой целевой группы OEM-производителей Android. В нем будут рассмотрены обнаруженные Google проблемы, которые могут «потенциально повлиять на уровень безопасности устройства Android или его пользователя». К ним относится широкий спектр проблем, влияющих на код устройства, которые не обслуживаются и не поддерживаются Google.
Google запускает инициативу по уязвимости партнеров Android
Программа AVPI уже запущена и уже решила ряд проблем безопасности. Список проблем, обнаруженных в рамках этой программы, доступен здесь. Как вы можете видеть в списке, Google обнаружил проблемы безопасности, которые затронули устройства ZTE, Vivo, OPPO, Huawei и другие.
Google также предоставил несколько примеров проблем, которые они помогли обнаружить и исправить в рамках программы AVPI. К ним относятся уязвимости в предварительно установленном стороннем решении для обновления по беспроводной связи (OTA). Еще одна проблема, обнаруженная Google, связана с популярным сторонним веб-браузером, который предустановлен на многих устройствах, что приводит к утечке учетных данных для входа. Приложение явно использовало слабый алгоритм (DES) и известный жестко запрограммированный ключ. Google сообщил о проблеме разработчику, и было выпущено исправление.
Android не имеет репутации самой безопасной мобильной платформы, но Google очень старается сделать ее достаточно безопасной для пользователей. Программа AVPI – еще одна инициатива в этом отношении. Надеюсь, это во многом улучшит безопасность Android-устройств.
