Android: Neue Google-Initiative soll für mehr Sicherheit sorgen
Im Kampf für die Sicherheit von Android und vor allem auch für die Daten seiner Benutzer hat Google allerhand Tools im Einsatz, mit denen sich Sicherheitslücken im System erkennen und auch von jedermann melden lassen. Werden Lücken über das Android-Security-Rewards-Programm gemeldet, veröffentlicht Google die entsprechenden Berichte regelmäßig im sogenannten Android Security Bulletin. Das Problem hierbei ist, dass diese Berichte sich bisher nur auf den AOSP-Code (der von vielen Herstellern so übernommen und nur minimal abgeändert wird) beziehen. Bei diesen Berichten handelt es sich also um Probleme, die sich auf alle Android-basierten Geräte auswirken könnten.
Nun gibt es aber noch eine Reihe weiterer, spezifischer Hersteller, die nicht direkt auf AOSP setzen, aber dennoch mit Android arbeiten. Sollten dort Sicherheitsprobleme auftreten, erscheinen diese nicht im Bulletin. Hierfür hat Google nun die APVI (Android Partner Vulnerability Initiative) ins Leben gerufen, die sich um genau diese Problematik kümmern soll. Die Initiative deckt ein breites Spektrum von Lücken ab, die sich auf Gerätecode auswirken, der nicht von Google gewartet oder gepflegt wird.
Die APVI soll die Behebung von Sicherheitslücken vorantreiben und den Nutzern Transparenz über Probleme bieten, die wir bei Google entdeckt haben und die sich auf Gerätemodelle auswirken, die von Android-Partnern ausgeliefert werden.
So konnte man schon allerhand Probleme beheben/melden, die eine große Angriffsfläche auf die Daten der Nutzer geboten hätten: darunter auch Lücken im Kernel, die die Ausführung von schadhaftem Code erlaubten, unverschlüsselte Backups von Daten und mehr. Ein paar Beispiele hat Google ans Ende seiner Meldung angefügt.