为提高安卓安全性谷歌将公开制造商漏洞敦促修复 联发科/华为/中兴等上榜
安卓生态的碎片化不仅给开发商带来困难,同时版本无法及时更新漏洞无法及时修复也会影响到终端用户的体验。
例如很多安卓设备自发布后就不再进行更新,而谷歌每个月都会发布安全更新针对安卓系统本身存在的漏洞修复。
长时间不更新和不修复漏洞的话自然会带来潜在的安全威胁,但谷歌现在也是无力彻底改变这种碎片化的窘境的。
还有个问题是部分制造商预装的软件存在漏洞,这种只影响特定品牌的问题也存在风险,所以谷歌计划进行改变。
谷歌日前宣布推出安卓合作伙伴漏洞倡议计划作为安卓安全奖励计划以及Google Play 安全奖励计划的补充部分。
漏洞倡议计划主要针对安卓设备制造商的预装软件,这里的预装软件只要指的是在固件里的制造商配套应用软件。
例如某些制造商内置的浏览器、备份与恢复以及数据同步等工具,谷歌安全团队及外部安全研究人员会进行研究。
发现漏洞后就会及时通报给制造商并敦促进行修复,若制造商完成修复则漏洞的详细报告会与修复补丁一起公开。
若在 90 天内制造商仍然没有修复漏洞的话则漏洞也会被公开 , 谷歌希望用这种方式敦促制造商们及时修复漏洞。
目前安卓合作伙伴漏洞倡议计划已经公布首批十个安全漏洞,这些安全漏洞有八个已经修复还有两个漏洞未修复。
联发科:联发科硬件驱动程序存在漏洞可用于任意读写内存和系统权限提升危害设备的安全性,目前漏洞已修复。
时代数联:时代数联在其部分设备上预装的系统服务存在漏洞允许攻击者调用敏感权限并保留,目前漏洞未修复。
魅族科技:魅族预装插件自带联网下载更新,但魅族没有对下载的代码执行任何校验可被利用,目前漏洞未修复。
中兴:中兴预装的系统服务消息服务存在漏洞,攻击者可利用漏洞安装任意应用无需用户确认,目前漏洞已修复。
传音控股:传音在其系统里预装的浏览器存在安全漏洞,攻击者借助漏洞可以读取保存的密码,目前漏洞已修复。
中兴:中兴在其系统里预装的浏览器组件存在安全漏洞,攻击者借助漏洞可以读取保存的密码,目前漏洞已修复。
vivo/OPPO:在其系统里预留安装系统级应用的功能 , 违反安卓兼容性指南且存在安全隐患等,目前漏洞已修复。
华为:华为预装的数据备份还原工具对数据没有加密且公开存储,其他应用亦可读取用户数据,目前漏洞已修复。
华为:华为预装的数据备份还原工具可被恶意软件触发并获取加密密钥,有数据泄露的风险等,目前漏洞已修复。