O esforço mais recente é chamado de Iniciativa de Vulnerabilidade do Parceiro Android e adiciona outra camada de segurança às existentes. Já existem vários programas dedicados a pesquisadores de segurança, como ASR (Android Security Rewards) para relatar vulnerabilidades do Android ou GPSR (Google Play Security Rewards) para aplicativos de terceiros na Play Store.

E há os ASBs (Boletins de Segurança do Android) que o Google informa no AOSP para que os desenvolvedores atualizem seus códigos. Os fabricantes de smartphones devem implementar as alterações informadas no ASB por meio de patches de segurança, que também estão claramente marcados no sistema operacional.

vulnerabilidades de OEM

No entanto, existem algumas vulnerabilidades específicas do OEM que não são cobertas pelos programas existentes. A nova iniciativa também visa preencher essa lacuna para tornar nossos smartphones Android ainda mais seguros.

A nova iniciativa cobre um amplo espectro de problemas que podem ter efeitos perigosos nos dispositivos, especialmente naqueles em que o código não é gerenciado diretamente pelo Google. O AVPI visa proteger o sistema de ignorar permissão, execução arbitrária de código no kernel, roubo de credencial e geração de backups não criptografados.

O Google cita alguns exemplos, obviamente sem citar nomes, nos quais interveio junto a alguns fabricantes para solucionar algumas vulnerabilidades. Este é o caso de um sistema de atualização OTA pré-instalado por vários OEMs que usavam senhas armazenadas no código para funcionar, enquanto concediam acesso a APIs confidenciais com o risco de expor dados pessoais.

Você precisa ver: Android 11: Quais celulares receberão a atualização?

Um navegador popular inclui um gerenciador de senhas cuja interface pode ser facilmente anexada para acessar o banco de dados de senhas. Estes últimos também foram criptografados com um algoritmo inseguro e com uma chave conhecida, novamente inserida no código.

Em vez disso, outros fabricantes modificaram o código para conceder permissões de acesso especiais a alguns aplicativos, que poderiam passar nas verificações de tempo de execução mesmo se as permissões não fossem inseridas corretamente no respectivo manifesto.

Para mais detalhes sobre a iniciativa, sugerimos que consulte esta página, onde o Google publicará outros relatórios relacionados a novos problemas de segurança descobertos e já conhecidos.