Google ahora revela vulnerabilidades de Android para dispositivos de terceros

Google ahora revela vulnerabilidades de Android para dispositivos de terceros

Google anunció hoy el lanzamiento de un nuevo programa diseñado específicamente para abordar las vulnerabilidades de seguridad que la compañía encuentra en dispositivos y software Android de terceros atendidos por OEM de Android.

"El equipo de seguridad y privacidad de Android de Google ha lanzado la Iniciativa de vulnerabilidad de socios de Android (APVI) para abordar los problemas de seguridad específicos de los OEM de Android", explicaron la gerente de programas Kylie McRoberts y el ingeniero de seguridad Alec Guertin.

"El APVI está diseñado para ayudar en la reparación y brindar transparencia a los usuarios sobre los problemas que descubrimos en Google que afectan a los modelos de dispositivos proporcionados por los socios de Android".

Índice de contenidos()

    Cerrando la brecha de seguridad

    Este programa se une a otras iniciativas de Google relacionadas con sus esfuerzos para descubrir y abordar problemas de seguridad de Android con la ayuda de investigadores de seguridad y la comunidad de Android, incluida la Programa de recompensas de seguridad de Android (ASR) (para el sistema Android) y el Programa de recompensas de seguridad de Google Play (para aplicaciones de terceros).

    Los problemas que afectan al Proyecto de código abierto de Android (AOSP) afectan a todos los dispositivos Android y se divulgan a través de los informes de ASR publicados cada mes a través de los Boletines de seguridad de Android (ASB).

    Sin embargo, las vulnerabilidades descubiertas por Google fuera del código basado en Android Open Source Project (AOSP) que afectan solo a un pequeño subconjunto de dispositivos Android OEM no se habían revelado previamente a través de un programa público.

    La iniciativa AVPI resuelve este problema y mejora la seguridad general del dispositivo Android OEM al permitir que los usuarios sepan cuando Google detecta errores de seguridad en el código del dispositivo Android que no es atendido o administrado por Google.

    "APVI ya ha resuelto una serie de problemas de seguridad, mejorando la protección del usuario contra la omisión de permisos, la ejecución del código del kernel, las fugas de credenciales y la generación de copias de seguridad no cifradas", Google Ella dijo.

    Varias vulnerabilidades de Android OEM ya reveladas

    Entre los problemas descubiertos por Google ya procesados ​​a través del AVPI, Google destacó debilidades que podrían conducir a "omisión de autorización, ejecución de código en el kernel, filtración de credenciales y generación de copias de seguridad no cifradas" en Mediatek, Digitime, Meizu, ZTE, Transsion, Vivo, Oppo o Huawei.

    Google ha proporcionado varios ejemplos de vulnerabilidades descubiertas anteriormente en dispositivos Android OEM, incluido un problema de omisión de permisos que afecta a una herramienta de actualización inalámbrica (OTA) de terceros preinstalada, fuga de credenciales a través del administrador. contraseña incorporada de un popular navegador web preinstalado y acceso a permisos innecesarios para aplicaciones privilegiadas.

    Las divulgaciones futuras de las vulnerabilidades de seguridad descubiertas por Google como parte del AVPI, así como la información sobre problemas previamente divulgados, se pueden encontrar en https://bugs.chromium.org/p/apvi/.

    Google ayer también anunció el Programa de Subvenciones de Investigación Fuzzilli, una subvención de investigación diseñada para patrocinar los esfuerzos de los investigadores para descubrir problemas de seguridad en los motores JavaScript del navegador web - JavaScriptCore (Safari), v8 (Chrome, Edge) o Spidermonkey (Firefox) - mediante pruebas de fuzz (también conocidas como fuzzing ).

    "La seguridad del motor JavaScript sigue siendo fundamental para la seguridad del usuario, como lo demuestran los recientes exploits de 0day que explotan vulnerabilidades en v8, el motor JavaScript detrás de Chrome", según Samuel Groß, investigador de seguridad de Project Cero.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir