Suchen

Google ruft Android Partner Vulnerability Initiative ins Leben Schwachstellen-Management in Android OEMs

| Redakteur: Stephan Augsten

Die OEM-Politik von Android OS führt bisweilen dazu, dass Drittanbieter-Quellcode von ungeahnten Sicherheitslücken betroffen ist. Mit der Android Partner Vulnerability Initiative, kurz APVI, will das Android Security- und Privacy-Team gegensteuern.

Firma zum Thema

Google verspricht sich durch die APVI ein besseres Schwachstellen-Management in Drittanbieter-Versionen von Android.
Google verspricht sich durch die APVI ein besseres Schwachstellen-Management in Drittanbieter-Versionen von Android.
(Bild: Google)

Zielsetzung der Android Partner Vulnerability Initiative (APVI) ist laut Google ein effizienterer Umgang mit Sicherheitslücken in OEM-Versionen von Android. Der Hersteller verspricht im Zuge dessen mehr Transparenz über Probleme, die Google entdeckt hat und sich auf die Gerätemodelle von Android-Partnern auswirken.

Das Projekt orientiert sich an der Norm „ISO/IEC 29147:2018 Information technology -- Security techniques -- Vulnerability disclosure recommendations“. Die Schwachstellen-Initiative soll sich dabei insbesondere solcher Probleme annehmen, die Gerätecode betreffen, der nicht von Google gewartet oder gepflegt wird.

Durch das Android Security Rewards Program (ASR) und das Google Play Security Rewards Program werde Google zwar zeitnah über Sicherheitslücken und -verstöße informiert. „Aber bis vor kurzem hatten wir keine klare Möglichkeit, die entdeckten Sicherheitsprobleme außerhalb des AOSP-Codes zu verarbeiten, die nur bei einer viel kleineren Gruppe von spezifischen Android-OEMs auftreten.“

Das APVI will diese Lücke schließen und eine weitere Sicherheitsebene für diese gezielte Gruppe von Android-OEMs hinzufügen. Die APVI hat bereits eine Reihe von Sicherheitsproblemen bearbeitet. So wurden laut Google das Umgehen von Berechtigungen (über die OTA-Update-Funktion eines Drittanbieters), die Ausführung von Code im Kernel sowie der Abfluss von Zugangsdaten (über einen „beliebten, häufig vorinstallierten Browser“) verhindert. Nachgebessert wurde auch bei der Erstellung unverschlüsselter Backups.

Weitere Informationen zur Android Partner Vulnerability Initiative im Android Developers Blog.

(ID:46917418)