Google上周发布了Android漏洞合作伙伴倡议(Android Partner Vulnerability Initiative,APVI),目的是为了披露Android原始设备制造商(OEM)的设备漏洞,以让用户得知设备的安全问题,同时督促企业修补。
其实Google已替Android生态体系创建了多项的漏洞披露及修补项目,涵盖锁定Android系统的Android漏洞挖掘奖励项目(Android Security Rewards Program,ASR),或是针对Android程序的Google Play漏洞挖掘奖励项目(Google Play Security Rewards Program),而且借由每月的安全公告(Android Security Bulletins,ASB)来公布及修补ASR。
只不过,第三方的Android设备制造商除了部署ASB之外,它们并未被强迫部署属于个别设备的安全漏洞修补,这使得Google祭出APVI,对外公布由Google所发现的特定Android设备的安全漏洞,以对用户提供更透明化的信息,同时也用来督促企业尽快修补。
Google强调,APVI涵盖的是那些并非由Google所提供或维护的程序代码,而且迄今已处理了许多安全问题,包括权限绕过、于核心中执行程序代码、凭证外泄或是产生未加密的备份。
例如有些第三方设备所预装的OTA更新解决方案,可直接取得各种权限API;或者是有些设备预装的浏览器,所内置的密码管理员可暴露在WebView中,而允许恶意网站访问所有的加密密码。
而根据APVI目前所列出的漏洞列表,Android设备制造商已经修补了8个安全漏洞,涉及的品牌包括联发科、魅族、中兴、华为、Oppo及Vivo等。