Ondanks dat het de laatste tijd zelfs onder smartphonefabrikanten in de mode is om hun toestellen up-to-date te houden door ze regelmatig te updaten, zijn maandelijkse beveiligingspatches voor hen altijd minder nuttig geweest dan voor toestellen uit de Google Pixel-lijn. Immers, als de “pixels” werken op basis van puur Android, dan hebben ze dezelfde beveiligingsproblemen, en in de firmware van externe fabrikanten, die tijdens hun ontwerp waarschijnlijk fouten maken, zijn deze problemen totaal verschillend. . Maar Google besloot ook die te onderzoeken.
Google zal beveiligingsproblemen met smartphones van derden onderzoeken via het Android Partner Vulnerability Initiative. Zo wil het bedrijf de correctie van bugs in de firmware van alle apparaten met Android versnellen, en niet alleen de Google Pixel, om het zo transparant mogelijk te maken voor gebruikers. Voorheen onderzocht Google alleen de tekortkomingen van een pure versie van Android en keek niet verder, maar nu omvat de plannen van de zoekgigant het detecteren van kwetsbaarheden buiten het standaard besturingssysteem.
Waar komen Android-kwetsbaarheden vandaan?
Hoewel Google niet verantwoordelijk is voor kwetsbaarheden in smartphone-firmware die zijn veroorzaakt door het gebruik van aangepaste skins en launchers, “kunnen deze de beveiligingsstatus van Android-apparaten en hun gebruikers negatief beïnvloeden”. Dit is hoe het bedrijf de noodzaak uitlegde om een nieuw initiatief te lanceren om beveiligingsproblemen op apparaten van derden te identificeren. Simpel gezegd, Google is niet blij dat de geloofwaardigheid van Android te lijden heeft onder de nalatigheid van fabrikanten die niet in staat zijn om zelfstandig bestaande bugs en mazen te detecteren en op te lossen.
Natuurlijk is het Android Partner Vulnerability Initiative-programma zelf een goede zaak, aangezien fabrikanten vaak fouten maken bij het ontwerpen van hun firmware en deze vervolgens niet repareren. Maar tot nu toe zijn er meer vragen in het initiatief dan antwoorden:
Of deelname aan het programma verplicht is voor fabrikanten Hoe Google kiest welke smartphones van welke fabrikanten gecontroleerd worden Kunnen fabrikanten weigeren hun smartphones te laten controleren? Moeten de kwetsbaarheden die Google als verplicht heeft aangemerkt worden verholpen? In maandelijkse beveiligingspatches of moeten apart worden gepubliceerd Wie moet updates ontwikkelen met fixes voor kwetsbaarheden Wat te doen als leveranciers de door Google gevonden “kwetsbaarheid” beschouwen als een functie van hun firmware
Android-beveiligingsupdates
Op dit moment is bekend dat Google slechts enkele Meizu-smartphones heeft gecontroleerd en daarover een zogenaamd beveiligingsbulletin heeft uitgegeven. Dit is een lijst met alle kwetsbaarheden die zijn gevonden in de firmware van het geteste apparaat. Google publiceert elke maand exact dezelfde nieuwsbrief op zijn eigen apparaten. Een ander ding is dat het alle fouten in de firmware van je apparaten voorverhelpt, zodat aanvallers ze niet voor hun eigen doeleinden kunnen gebruiken. En in het geval van Meizu zou ik niet zeker weten of iemand de gevonden kwetsbaarheden heeft verholpen.
Google staat daarom nu voor de taak om een effectief instrument samen te stellen om fabrikanten te beïnvloeden, die duidelijk verplicht zouden moeten zijn om de kritieke kwetsbaarheden op te lossen die door de experts van de zoekgigant zijn gevonden. Anders wordt het beveiligingsbulletin, dat door Google wordt gepubliceerd, zeer waarschijnlijk een uitstekende actiegids voor hackers die van rechts naar links beginnen om kwetsbare apparaten te hacken. Maar aangezien de zoekgigant er nog niet in is geslaagd om leveranciers te overtuigen om eenvoudig vooraf gemaakte beveiligingspatches aan te passen, denk ik dat er niets goeds zal komen van het nieuwe initiatief.
