Anuncio del lanzamiento de la Iniciativa de vulnerabilidad de socios de Android


Publicado por Kylie McRoberts, directora de programas y Alec Guertin, ingeniero de seguridad

Gráfico de Android

El equipo de seguridad y privacidad de Android de Google ha lanzado el Iniciativa de vulnerabilidad de socios de Android (APVI) para gestionar problemas de seguridad específicos de los OEM de Android. El APVI está diseñado para impulsar la remediación y brindar transparencia a los usuarios sobre los problemas que hemos descubierto en Google que afectan los modelos de dispositivos enviados por los socios de Android.

Otra capa de seguridad

Android incorpora funciones de seguridad líderes en la industria y todos los días trabajamos con desarrolladores e implementadores de dispositivos para mantener la plataforma y el ecosistema de Android seguros. Como parte de ese esfuerzo, tenemos una variedad de programas existentes para permitir a los investigadores de seguridad informar problemas de seguridad que hayan encontrado. Por ejemplo, puede informar vulnerabilidades en el código de Android a través del Programa de recompensas de seguridad de Android (ASR) y vulnerabilidades en aplicaciones populares de Android de terceros a través del Programa de recompensas de seguridad de Google Engage in. Google publica informes ASR en código basado en Android Open Supply Undertaking (AOSP) a través del Boletines de seguridad de Android (ASB). Estos informes son problemas que podrían afectar a todos los dispositivos basados ​​en Android. Todos los socios de Android deben adoptar los cambios de ASB para declarar el nivel de parche de seguridad de Android (SPL) del mes genuine. Pero hasta hace poco, no teníamos una forma clara de procesar los problemas de seguridad descubiertos por Google fuera del código AOSP que son exclusivos de un conjunto mucho más pequeño de OEM de Android específicos. La APVI tiene como objetivo cerrar esta brecha, agregando otra capa de seguridad para este conjunto específico de OEM de Android.

Mejora de la seguridad del dispositivo OEM de Android

El APVI cubre problemas descubiertos por Google que podrían afectar potencialmente la postura de seguridad de un dispositivo Android o su usuario y está alineado con ISO / IEC 29147: 2018 Tecnología de la información – Técnicas de seguridad – Recomendaciones de divulgación de vulnerabilidades. La iniciativa cubre una amplia gama de problemas que afectan el código del dispositivo que no es atendido o mantenido por Google (estos son manejados por los Boletines de seguridad de Android).

Protección de los usuarios de Android

La APVI ya ha procesado una serie de problemas de seguridad, mejorando la protección del usuario contra omisiones de permisos, ejecución de código en el kernel, filtraciones de credenciales y generación de copias de seguridad no cifradas. A continuación, se muestran algunos ejemplos de lo que hemos encontrado, el impacto y los esfuerzos de reparación de los OEM.

Omisión de permisos

En algunas versiones de una solución de actualización inalámbrica (OTA) preinstalada de terceros, un servicio de sistema personalizado en el marco de Android expuso las API privilegiadas directamente a la aplicación OTA. El servicio se ejecutó como el usuario del sistema y no requirió ningún permiso para acceder, sino que verificó el conocimiento de una contraseña codificada. Las operaciones disponibles variaron según las versiones, pero siempre permitieron el acceso a API sensibles, como instalar / desinstalar APK de forma silenciosa, habilitar / deshabilitar aplicaciones y otorgar permisos de aplicaciones. Este servicio apareció en la base de código para muchas compilaciones de dispositivos en muchos OEM, sin embargo, no siempre estuvo registrado o expuesto a aplicaciones. Trabajamos con los fabricantes de equipos originales afectados para informarles de este problema de seguridad y les brindamos orientación sobre cómo eliminar o inhabilitar el código afectado.

Fuga de credenciales

Un common navegador world wide web preinstalado en muchos dispositivos incluía un administrador de contraseñas integrado para los sitios visitados por el usuario. La interfaz de esta función se expuso a WebView a través de JavaScript cargado en el contexto de cada página world-wide-web. Un sitio malintencionado podría haber accedido a todo el contenido del almacén de credenciales del usuario. Las credenciales están encriptadas en reposo, pero utilizan un algoritmo débil (DES) y una clave codificada conocida. Este problema se informó al desarrollador y se enviaron actualizaciones para la aplicación a los usuarios.

Aplicaciones con privilegios excesivos

los checkUidPermission método en el PackageManagerService La clase se modificó en el código del marco de algunos dispositivos para permitir el acceso de permisos especiales a algunas aplicaciones. En una versión, el método otorgó aplicaciones con el ID de usuario compartido com.google.uid.shared cualquier permiso que solicitaron y las aplicaciones firmadas con la misma clave que el com.google.android.gsf empaquetar cualquier permiso en su manifiesto. Otra versión de la modificación permitió que las aplicaciones que coincidían con una lista de nombres de paquetes y firmas pasaran las verificaciones de permisos en tiempo de ejecución, incluso si el permiso no estaba en su manifiesto. Estos problemas han sido solucionados por los OEM.

Más información

Esté atento a https://bugs.chromium.org/p/apvi/ para futuras divulgaciones de problemas de seguridad descubiertos por Google bajo este programa, o busque más información allí sobre problemas que ya se han divulgado.

Agradecimientos: Scott Roberts, Shailesh Saini y Łukasz Siewierski, equipo de seguridad y privacidad de Android



Enlace a la noticia initial