Il team Android Security & Privacy di Google è costantemente al lavoro per mantenere alta l’attenzione sulla sicurezza di Android e di tutti i dispositivi nei quali è installato. L’ultimo sforzo si chiama Android Partner Vulnerability Initiative e aggiunge un altro livello di sicurezza che va a sommarsi a quelli già esistenti.
Sono già numerosi i programmi dedicati ai ricercatori di sicurezza, come ASR (Android Security Rewards) per segnalare le vulnerabilità di Android o GPSR (Google Play Security Rewards) per le app di terze parti presenti sul Play Store. E ci sono gli ASB (Android Security Bulletins) che Google segnala nell’AOSP affinché gli sviluppatori possano aggiornare il proprio codice.
I produttori di smartphone devono implementare le modifiche riportate nell’ASB attraverso le patch di sicurezza, anch’esse segnalate chiaramente nel sistema operativo. Ci sono però alcune vulnerabilità specifiche dei singoli OEM, non coperte dai programmi esistenti. La nuova iniziativa punta a colmare anche questa lacuna per rendere ancora più sicuri i nostri smartphone Android.
La nuova iniziativa copre un ampio spettro di problematiche che possono avere effetti pericolosi sui dispositivi, in particolare in quelli in cui il codice non è gestito direttamente da Google. La AVPI punta a proteggere il sistema dal bypass dei permessi, dall’esecuzione arbitraria di codice nel kernel, dal furto di credenziali e dalla generazione di backup non crittografati.
Google cita alcuni esempi, senza ovviamente fare nomi, nei quali è intervenuta con alcuni produttori per risolvere alcune vulnerabilità. È il caso di un sistema di aggiornamento OTA preinstallato da numerosi OEM che utilizzava password memorizzate nel codice per funzionare, concedendo però l’accesso ad API sensibili con il rischio di esporre dati personali.
Un browser molto diffuso includeva un gestore di password la cui interfaccia poteva facilmente essere attaccata per accedere al database delle password. Queste ultime inoltre erano crittografate con un algoritmo poco sicuro e con un chiave nota, anche questa volta inserita nel codice.
Altri produttori invece hanno modificato il codice per garantire permessi di accesso speciali ad alcune app, che potevano superare i controlli runtime anche se i permessi non erano correttamente inseriti nel rispettivo manifest.
Per maggiori dettagli sull’iniziativa vi rimandiamo a questa pagina, dove Google inserirà altre segnalazioni relative a nuovi problemi di sicurezza scoperti e a quelli già conosciuti.