DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Google công bố chương trình tìm kiếm lỗ hổng bảo mật của đối tác Android
Sự phân mảnh của hệ sinh thái Android không chỉ khiến các nhà phát triển gặp khó khăn mà còn ảnh hưởng đến trải nghiệm của người dùng cuối khi không thể cập nhật phiên bản mới và sửa chữa lỗ hổng kịp thời.
Ví dụ, nhiều thiết bị Android đã không được cập nhật kể từ khi phát hành trong khi đó, Google vẫn phát hành các bản cập nhật bảo mật hàng tháng để sửa các lỗ hổng trong chính hệ thống Android.
Việc không cập nhật và sửa chữa các lỗ hổng trong một thời gian dài sẽ mang đến các mối đe dọa bảo mật tiềm ẩn, nhưng Google hiện không thể thay đổi hoàn toàn tình trạng phân mảnh này.
Một vấn đề khác là phần mềm do một số nhà sản xuất Android (thường được gọi là các OEM) cài đặt sẵn tồn tại lỗ hổng. Vấn đề chỉ ảnh hưởng đến các thương hiệu cụ thể nhưng cũng có nhiều rủi ro, vì vậy Google có kế hoạch thay đổi nó.
Google mới công bố chương trình Android Partner Vulnerability Initiative(APVI), một nỗ lực nhằm cải thiện việc vá các vấn đề bảo mật dành riêng cho các OEM Android.
Thông qua sáng kiến mới, gã khổng lồ công nghệ hy vọng sẽ cải thiện tính tính minh bạch về các lỗ hổng được các nhà nghiên cứu của chính Google phát hiện, nhưng ảnh hưởng đến các mẫu thiết bị đến từ các đối tác Android của công ty.
Google trước đó đã triển khai nhiều chương trình khác nhau để các nhà nghiên cứu có thể báo cáo các vấn đề bảo mật, như Android Security Rewards Program (ASR), để báo cáo các lỗ hổng trong mã Android và Google Play Security Rewards Program, để thông báo các lỗi trong ứng dụng Android phổ biến.
APVI chủ yếu nhắm vào phần mềm được cài đặt sẵn của các nhà sản xuất thiết bị Android. Phần mềm được cài đặt sẵn ở đây chỉ đề cập đến phần mềm ứng dụng của nhà sản xuất Android trong chương trình cơ sở.
Khi lỗ hổng được phát hiện, nhà sản xuất sẽ được Google thông báo kịp thời và thúc đẩy tiến độ vá lỗi. Nếu nhà sản xuất hoàn thành việc sửa chữa, báo cáo chi tiết về lỗ hổng sẽ được công bố cùng với bản vá lỗi.
Nếu nhà sản xuất thiết bị Android vẫn không khắc phục lỗ hổng trong vòng 90 ngày, chi tiết về lỗ hổng sẽ được công khai. Google hy vọng sẽ sử dụng phương pháp này để thúc giục các nhà sản xuất xử lý lỗ hổng kịp thời.
Các lỗ hổng do Google phát hiện sẽ được tiết lộ công khai trên trang Google Chromium. Thông tin chi tiết về các vấn đề đã được tiết lộ cũng được đăng tải tại đây.
Ví dụ, nhiều thiết bị Android đã không được cập nhật kể từ khi phát hành trong khi đó, Google vẫn phát hành các bản cập nhật bảo mật hàng tháng để sửa các lỗ hổng trong chính hệ thống Android.
Việc không cập nhật và sửa chữa các lỗ hổng trong một thời gian dài sẽ mang đến các mối đe dọa bảo mật tiềm ẩn, nhưng Google hiện không thể thay đổi hoàn toàn tình trạng phân mảnh này.
Một vấn đề khác là phần mềm do một số nhà sản xuất Android (thường được gọi là các OEM) cài đặt sẵn tồn tại lỗ hổng. Vấn đề chỉ ảnh hưởng đến các thương hiệu cụ thể nhưng cũng có nhiều rủi ro, vì vậy Google có kế hoạch thay đổi nó.
Google mới công bố chương trình Android Partner Vulnerability Initiative(APVI), một nỗ lực nhằm cải thiện việc vá các vấn đề bảo mật dành riêng cho các OEM Android.
Thông qua sáng kiến mới, gã khổng lồ công nghệ hy vọng sẽ cải thiện tính tính minh bạch về các lỗ hổng được các nhà nghiên cứu của chính Google phát hiện, nhưng ảnh hưởng đến các mẫu thiết bị đến từ các đối tác Android của công ty.
Google trước đó đã triển khai nhiều chương trình khác nhau để các nhà nghiên cứu có thể báo cáo các vấn đề bảo mật, như Android Security Rewards Program (ASR), để báo cáo các lỗ hổng trong mã Android và Google Play Security Rewards Program, để thông báo các lỗi trong ứng dụng Android phổ biến.
APVI chủ yếu nhắm vào phần mềm được cài đặt sẵn của các nhà sản xuất thiết bị Android. Phần mềm được cài đặt sẵn ở đây chỉ đề cập đến phần mềm ứng dụng của nhà sản xuất Android trong chương trình cơ sở.
Khi lỗ hổng được phát hiện, nhà sản xuất sẽ được Google thông báo kịp thời và thúc đẩy tiến độ vá lỗi. Nếu nhà sản xuất hoàn thành việc sửa chữa, báo cáo chi tiết về lỗ hổng sẽ được công bố cùng với bản vá lỗi.
Nếu nhà sản xuất thiết bị Android vẫn không khắc phục lỗ hổng trong vòng 90 ngày, chi tiết về lỗ hổng sẽ được công khai. Google hy vọng sẽ sử dụng phương pháp này để thúc giục các nhà sản xuất xử lý lỗ hổng kịp thời.
Các lỗ hổng do Google phát hiện sẽ được tiết lộ công khai trên trang Google Chromium. Thông tin chi tiết về các vấn đề đã được tiết lộ cũng được đăng tải tại đây.
Theo Securityweek