Google ha appena lanciato un nuovo programma specializzato alla gestione dei problemi di sicurezza di alcuni OEM Android. Il nuovo obiettivo di Android Partner Vulnerability Initiative renderà i telefoni aventi il sistema operativo del robottino verde ancora più protetti e sicuri, andando a risolvere i problemi che da sempre attanagliano alcuni modelli di device realizzati dagli costruttori di terze parti.
Google: il programma per rendere i device Android più sicuri e protetti
Google dispone di vari programmi che permettono ai ricercatori di sicurezza di segnalare eventuali vulnerabilità relative al software. Sebbene le vulnerabilità nel codice Android possano essere segnalate tramite l’Android Security Rewards Program (ASR), i problemi nelle app Android di terze parti possono essere segnalati tramite il Play Security Rewards Program.
Fino ad ora però, non era possibile gestire i problemi che interessavano solo specifici OEM Android. Google afferma che la Android Partner Vulnerability Initiative è allineata a “ISO / IEC 29147: 2018 Tecnologia dell’informazione – Tecniche di sicurezza – Raccomandazioni sulla divulgazione delle vulnerabilità“. L’APVI ha già aiutato a elaborare alcuni problemi di sicurezza, tra cui fughe di credenziali e dati sensibili, generazione di backup non crittografati ed esecuzioni di codice nel kernel.
Il colosso di Mountain View ha trovato un servizio di sistema personalizzato all’interno del framework Android in alcune versioni di update OTA di costruttori di terze parti, che consentiva l’accesso ad API sensibili come l’abilitazione o la disabilitazione di app e la concessione delle autorizzazioni alle varie app.
Tale servizio è stato trovato nel codice di molte build di dispositivi, appartenenti a più OEM differenti. Google ha informato le aziende del problema e le ha indicato la via su come procedere affinché rimuovessero il codice interessato. BigG ha inoltre rilevato una grave vulnerabilità di sicurezza in un popolare browser Web preinstallato su molti dispositivi, che avrebbe potuto consentire a siti dannosi di accedere alle password salvate dell’utente.