Google 開始針對非自身製造的 Android 裝置發出漏洞警示通報.png

Google 最近推出 Android Partner Vulnerability Initiative,針對非 Google 自製的第三方 Android 裝置資安漏洞發出警示通報,以提示用戶注意,並促使裝置廠商盡快推出資安更新修補程式。

Google 最近推出 Android Partner Vulnerability Initiative(APVI),主要針對非 Google 自製 Pixel 系列手機的第三方 Android 裝置資安漏洞發出警示通報;這個計畫的用意,除了提示用戶注意可能的資安風險外,並希望促使裝置廠商盡快推出資安更新修補程式,希望能加強整個 Android 生態圈的安全性。

雖然在 Google 推出 APVI 的部落格公告中,列出了數種這波通報中發現的三大漏洞類型(跳過權限同意程序、登入資訊外洩、App 過度要求存取權限等),但在 APVI 的 bug list 頁面中,則列出了自去年八月以來發現的第三方 Android 製造商被發現的各種問題;榜上有名的廠商包括華為、OPPO、Vivo、ZTE、Transsion、Meizu、Digitime、Mediatek 等。

華為手機早在 2019 八月就被提報「未經授權的第三方資料備份」問題,OPPO 和 Vivo 則於去年 12 月被提報 sideloading 問題,Mediatek 則是在今年一月因為嚴重的 MTK-SU 漏洞而名列其上,ZTE 則同時有訊息服務和瀏覽器自動輸入密碼的安全性問題存在;不過這些漏洞目前均已修復。

尚未修復的新漏洞則有 Meizu 的 Android 系統 UI 使用 http 未加密協定載入動態程式碼問題,以及 Digitime 手機系統服務外洩問題。

Google 表示,會在問題提報時主動通知各第三方生產廠,之後才會加以公開;Google 希望以這個方式,加速各第三方廠商更新其裝置並修補漏洞的速度,因為許多 Android 第三方裝置的系統更新和資安漏洞修補動作非常緩慢,更有許多平價設備從來不曾推出更新。


  • 參考連結

https://www.engadget.com/google-android-partner-vulnerability-initiative-173252320.html

https://security.googleblog.com/2020/10/announcing-launch-of-android-partner.html

https://bugs.chromium.org/p/apvi/issues/list?q=&can=1

    twcert 發表在 痞客邦 留言(0) 人氣()