Elk besturingssysteem wordt niet alleen beoordeeld op comfort en functionaliteit, maar ook op veiligheid. Dit geldt met name voor smartphones, waar elk besturingssysteem zijn eigen app store heeft en het noodzakelijk is om ervoor te zorgen dat gebruikers niet hoeven na te denken over wat ze downloaden. Velen zijn het erover eens dat Android-apps beter gemodereerd kunnen worden. Dat is één ding om te zeggen en iets heel anders om actie te ondernemen. Deze keer is Google echt begonnen met het nemen van belangrijke stappen naar aanzienlijk meer beveiliging voor zijn besturingssysteem.
Android-beveiliging
Google creëert een nieuw Android-beveiligingsteam. Het bedrijf neemt een beveiligingsmanager in dienst om een toegewijd team te leiden dat “toepassingsbeveiligingsbeoordelingen zal uitvoeren voor zeer gevoelige mensen”. Android-apps van derden op Google Play“. Het klinkt heel groots, maar wat betekent het nu echt?
Het team zal verantwoordelijk zijn voor het identificeren van kwetsbaarheden in applicaties van derden en het geven van herstelaanbevelingen aan ontwikkelaars van die applicaties die zorgen baren. Het nieuwe team zal zich volgens een ZDNet-rapport concentreren op COVID-19-contactopsporing en verkiezingsgerelateerde apps. Eigenlijk alles wat nu het meest relevant is en dat het hoogste niveau van beveiliging en/of vertrouwelijkheid vereist. Volgens Sebastian Porst, softwareontwikkelingsmanager voor Google Play Protect, komen er binnenkort meer van dergelijke apps.
Nieuw google Android-beveiligingsteamIn wezen doe je wat onafhankelijke beveiligingsonderzoekers doen via het beveiligingsbeloningsprogramma. GPSRP is een bug bounty-programma dat beveiligingsonderzoekers beloont voor het vinden van bugs in Android-apps.
Er is echter een kleine verduidelijking. Niet alle ontwikkelaars, noch alle gevonden bugs, krijgen een beloning. Onder dit programma wordt alleen betaald voor fouten die zijn gevonden in apps met meer dan 100 miljoen gebruikers… Ook zogenaamde vertrouwelijke sollicitaties doen doorgaans niet mee aan dit programma. Het nieuwe Google-team neemt nu de taak op zich om bugs in dergelijke Android-apps te vinden.
Google-ontwikkelingsteam
Met een intern team dat zich toelegt op het vinden van bugs in applicaties, kan het bedrijf snel bugs vinden die onopgemerkt blijven en niet wachten tot iemand anders ze vindt. Het nieuwe team zal ook nauw samenwerken met andere bestaande Android-beveiligingsteams. Ze zullen samenwerken om nieuwe en creatieve manieren te vinden om te voorkomen dat apps met fouten Google Play bereiken.
Beveiligingsingenieurs werken met netwerkapparatuur en controleren onze systemen actief op aanvallen en inbraken. We zullen ook samenwerken met softwareontwikkelaars om de identificatie en correctie van beveiligingsfouten en kwetsbaarheden te voorkomen, volgens de vacatures van Google.
Iedereen heeft baat bij het creëren van een toegewijd team. Allereerst bedoel ik natuurlijk normale gebruikers. Voor hen is het risico dat ze bepaalde kwaadaardige toepassingen tegenkomen, lager.
Google Play-beveiliging
Elke twee weken zien we dat Google verschillende kwaadaardige apps uit de winkel verwijdert. Het feit dat deze apps gemakkelijk de beveiligingscontroles van Google omzeilen, is zorgwekkend, en het bedrijf weet dat waarschijnlijk ook.
Daarom onderneemt Google stappen om de algehele beveiliging van het mobiele Android-besturingssysteem te verbeteren. De oprichting van een nieuw beveiligingsteam is een volgende stap op weg. Vorige week lanceerde Google een programma Android Partner Vulnerability Initiative (APVI)bedoeld om de beveiliging van Android-smartphones van andere fabrikanten te verbeteren.
Absoluut een goede zet’, zei een mobiele malware-analist over de nieuwste ontwikkeling van Google. Het vinden van ernstige beveiligingsproblemen is niet eenvoudig en vereist ook veel tijd en ervaring.
