El último esfuerzo se llama Iniciativa de vulnerabilidad de socios de Android y agrega otra capa de seguridad a las existentes. Ya existen varios programas dedicados a los investigadores de seguridad, como ASR (Recompensas de seguridad de Android) para informar vulnerabilidades de Android o GPSR (Recompensas de seguridad de Google Play) para aplicaciones de terceros en Play Store.
Y luego están los ASB (boletines de seguridad de Android) que Google informa en el AOSP para que los desarrolladores actualicen su código. Los fabricantes de teléfonos inteligentes deben implementar los cambios informados en la ASB a través de parches de seguridad, que también están claramente marcados en el sistema operativo.
vulnerabilidades de OEM
Sin embargo, existen algunas vulnerabilidades específicas de OEM que no están cubiertas por los programas existentes. La nueva iniciativa también tiene como objetivo llenar este vacío para hacer que nuestros teléfonos inteligentes Android sean aún más seguros.
La nueva iniciativa cubre un amplio espectro de problemas que pueden tener efectos peligrosos en los dispositivos, especialmente aquellos en los que Google no administra directamente el código. AVPI tiene como objetivo proteger el sistema de la omisión de permisos, la ejecución de código arbitrario en el kernel, el robo de credenciales y la generación de copias de seguridad sin cifrar.
Google cita algunos ejemplos, obviamente sin dar nombres, en los que intervino con algunos fabricantes para solucionar algunas vulnerabilidades. Este es el caso de un sistema de actualización OTA preinstalado por varios OEM que usaban contraseñas almacenadas en el código para funcionar, al tiempo que otorgaban acceso a API confidenciales con el riesgo de exponer datos personales.
Android 11: ¿Qué teléfonos recibirán la actualización?Un navegador popular incluye un administrador de contraseñas cuya interfaz se puede conectar fácilmente para acceder a la base de datos de contraseñas. Estos últimos también se cifraron con un algoritmo inseguro y con una clave conocida, se reintrodujeron en el código.
En cambio, otros fabricantes modificaron el código para otorgar permisos de acceso especiales a algunas aplicaciones, que podrían pasar las verificaciones de tiempo de ejecución incluso si los permisos no se ingresaron correctamente en el manifiesto respectivo.
Para obtener más detalles sobre la iniciativa, le sugerimos que consulte esta página, donde Google publicará otros informes relacionados con problemas de seguridad conocidos y descubiertos recientemente.
