Google gaat bij Android-partners gevonden kwetsbaarheden openbaar maken

Google gaat informatie openbaar maken over kwetsbaarheden die het vindt in Android-telefoons van fabrikanten. Met het Android Partner Vulnerability Initiative wil Google meer openheid geven over kwetsbaarheden. De publicatie volgt na oplossing van de bugs.

Het nieuwe programma, afgekort APVI, is geen responsible-disclosureprogramma voor het melden van kwetsbaarheden, maar een register waar Google zelf meer informatie geeft over bugs die het zelf gevonden heeft. Het gaat dan specifiek om kwetsbaarheden in apparaten van fabrikanten die Android-toestellen maken.

"Het APVI-programma is opgezet om transparantie aan gebruikers te bieden over problemen die we hebben ontdekt die toestellen van Android-partners treffen", schrijft Google in een blogpost. Het programma valt binnen het Google Android Security & Privacy-team. Dat team begon eerder al het Security Rewards Program, waaraan ook externe bugbountyjagers mee kunnen doen. Dergelijke bugs werden in het Android Security Bulletin opgenomen. Oplossingen voor kwetsbaarheden die daarin staan, moeten door alle Android-fabrikanten worden overgenomen. "Tot voor kort hadden we geen manier om problemen die uniek zijn voor een kleiner aantal specifieke Android-oem's openbaar te maken", zegt Google.

Google heeft inmiddels al verschillende bugs ontdekt. Het zou bijvoorbeeld gaan om een webbrowser die op veel toestellen wordt meegeleverd, waarbij een ingebouwde wachtwoordmanager wachtwoorden kon lekken. Op andere apparaten was het mogelijk rechten te omzeilen en zo apk's te installeren zonder tussenkomst van de gebruiker. Google heeft die kwetsbaarheden doorgegeven aan de fabrikanten. Zodra de oplossingen zijn doorgevoerd, publiceert Google de details. Google gebruikt daarvoor de ISO 29157:2018-richtlijn die voorwaarden voor responsible disclosure voorschrijft.

Google schrijft in de blogpost niet om welke fabrikanten het gaat. Het bedrijf verwijst wel naar de bugtracker waarin staat dat het om onder andere ZTE zou gaan. Ook is te zien hoe Huawei- en Oppo-toestellen kwetsbaarheden hadden.

APVI

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 05-10-2020 10:17 17

05-10-2020 • 10:17

17

Lees meer

Google wil dat Android-fabrikanten patches sneller doorvoeren naar eindgebruiker
Google wil dat Android-fabrikanten patches sneller doorvoeren naar eindgebruiker Nieuws van 30 juli 2023
Bitwarden en Dashlane fixen bug met wachtwoorden op onveilige sites
Bitwarden en Dashlane fixen bug met wachtwoorden op onveilige sites Nieuws van 23 januari 2023
Google Assistant krijgt incognito-modus om privacy te beschermen
Google Assistant krijgt incognito-modus om privacy te beschermen Nieuws van 7 oktober 2020
Qualcomm repareert kwetsbaarheden voor onbekende bugs in dsp van Snapdragon-socs
Qualcomm repareert kwetsbaarheden voor onbekende bugs in dsp van Snapdragon-socs Nieuws van 10 augustus 2020
Onderzoeker vindt kritiek bluetoothlek in Android 8 en 9
Onderzoeker vindt kritiek bluetoothlek in Android 8 en 9 Nieuws van 7 februari 2020
Google zegt dat tachtig procent van de Android-apps het dataverkeer versleutelt
Google zegt dat tachtig procent van de Android-apps het dataverkeer versleutelt Nieuws van 4 december 2019
Camera van Android-telefoons was zonder toestemming te gebruiken
Camera van Android-telefoons was zonder toestemming te gebruiken Nieuws van 19 november 2019
Meer producten en artikelen
Beveiliging en antivirus Google Android Bugs Bug tracking

Reacties (17)

-Moderatie-faq
17
16
10
0
0
3
Wijzig sortering

Sorteer op:

Weergave:
kodak
5 oktober 2020 12:38
Het oplossen en beter bekend maken dat er een probleem is/was klinkt goed. Maar er ontbreekt in die overeenkomst nog een belangrijk deel: de oplossing moet ook beschikbaar zijn.
Hoe zorgt dit APVI er nu voor dat gebruikers ook de oplossing krijgen?
wifikabelhuren @kodak5 oktober 2020 13:22
Als er geen oplossing is dan is het toch wenselijk om kenbaar te maken aan de consument. Die kunnen dan zelf beslissen om iets anders aan te schaffen of door te gaan met een risico.
kodak
@wifikabelhuren5 oktober 2020 17:08
Dat informeren is zeker wenselijk. Ik zou het alleen wenselijker vinden als google dan ook een lijn gaat trekken dat consumenten ook in staat moeten zijn om die vereiste oplossing te ontvangen en niet alleen door afhankelijkheid van wispelturigheid van fabrikanten om een oplossing te leveren.
OhMyGod 5 oktober 2020 10:25
Dus als de oplossing doorgevoerd is publiceren ze het als een soort mosterd na de maaltijd.
MetalfanBlackness @OhMyGod5 oktober 2020 10:37
Het publiceren alvorens het is opgelost is gratis 0-day exploits uitdelen. Het is wel redelijk standaard in de tech wereld om tijd te gunnen om een probleem op te lossen.

Het is wel fijn dat ze dit gaan publiceren, kunnen we zijn wat voor foutern er zijn en mogelijk de oem's ook van elkaars fouten leren.
bbob
@MetalfanBlackness5 oktober 2020 21:25
Hanteerde google niet een x dagen beleid om dit op te lossen, zo niet publiceren om zo bedrijven te dwingen actie te ondernemen.
Ben benieuwd of ze hier dan vanaf stappen.
The Zep Man
@OhMyGod5 oktober 2020 10:38
Dus als de oplossing doorgevoerd is publiceren ze het als een soort mosterd na de maaltijd.
Google gebruikt daarvoor de ISO 29157:2018-richtlijn die voorwaarden voor responsible disclosure voorschrijft.
Eerst de standaard lezen:
Vendors should work to balance risk when timing their advisory release. If no remediation exists for a vulnerability but attacks are underway, then a vendor may have to release an advisory to inform users of the risks and steps they can take to minimize or eliminate that risk.
Google heeft dus de mogelijkheid volgens de standaard om informatie over kwetsbaarheden die al worden uitgebaat vrij te geven. Of ze daar ook gebruik van maken is een tweede, omdat ze hun partners ook niet te hard tegen de schenen willen schoppen.

En natuurlijk is wachten totdat een oplossing beschikbaar is voor nog niet publiek bekende en uitgebuite kwetsbaarheden een goed iets.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:22]

Awesomehobo @OhMyGod5 oktober 2020 10:42
Mosterd na de maaltijd, of extra bescherming van de telefoon / de fabrikant / de consument?
Ik vind het zelf toch altijd wel fijn dat een kwetsbaarheid (lees: veiligheidsissue) opgelost is voordat het openbaar geplubiceerd wordt en iedereen met slechte intentie hier vanaf weet.

Daarnaast zie ik dit register juist als een plek voor fabrikanten om te checken wat voor bekende kwetsbaarheden/bugs er in het verleden bekend waren, waardoor deze zijn ontstaan, wat ze doen, en hoe ze op te lossen, om niet diezelfde fout te maken.
Verwijderd @OhMyGod5 oktober 2020 11:32
Opzich wel logisch toch? Stel het even voor alsof het iemand is die een huis inspecteert op veiligheid. Die vindt een sleutel onder de mat en daar moet wat aan gedaan worden.

Wat er nu gebeurt is dat die informatie wordt doorgegeven aan de eigenaar van het huis, en zodra het is opgelost wordt het geplaatst op een algemene website zodat iedereen er van kan leren en dit kan voorkomen bij hun eigen huis.

Als je het zou publiceren voordat het is opgelost, is het eigenlijk hetzelfde als een sleutel vinden en dan, in plaats van de eigenaar persoonlijk in te lichten, het op het internet zetten en nog wat bekende dieven in de buurt er in taggen zodat ze in ieder geval gebruik kunnen maken van de mogelijkheid.

Het doel van dit programma is om inzicht te geven in bugs, niet om alle fabrikanten voor de leeuwen te gooien en bij iedere bug hun software in gevaar te brengen.
Single Core @OhMyGod5 oktober 2020 10:38
Verwacht je dan dat ze een kwetsbaarheid beschikbaar maken de seconde dat ze deze vinden?
FireDrunk @Single Core5 oktober 2020 12:30
Ja, er zijn zelfs stukjes software die dmv machine learning, de patches van Microsoft op Patch Thuesday uitlezen, geautomatiseerd malware schrijven, en proberen die te gebruiken om gebruikers te infecteren.
Dit alles voordat de gebruiker de tijd heeft gehad om zijn systeem te patchen.

Dus ja, 0-days worden razendsnel misbruikt.
Nevermind, ik las je vraag verkeerd. Je bedoelt of ze hem beschikbaar maken, niet of hij misbruikt wordt.

[Reactie gewijzigd door FireDrunk op 23 juli 2024 18:22]

Single Core @Crotchy5 oktober 2020 14:48
Ik dacht dat ze minstens 2 weken de tijd kregen van google. En daarna idd het gwn publiek maken.
Byron010 @Crotchy5 oktober 2020 15:58
Komt vaak voor dat google exploits openbaar gemaakt heeft nadat bedrijven niks gedaan hebben met de meldingen of er te lang over doen*
Horatius 5 oktober 2020 10:33
En weer een stap van Google om Android consistenter en betrouwbaarder te maken.

A9 en A10 waren de eerste stappen om Android te partioneren zodat updates makkelijker zijn en deels via de Playstore kunnen, A11 doet hier nog een flinke schep boven op en telefoons die met A12 worden geleverd moeten een bepaalde certificering hebben volgens mij.

Ze zitten Android fabrikanten achter de kont aan om lang updates te voorzien (Android One is hier een goed voorbeeld van) en een goede skin te leveren.
Het Android veld is de laatste jaren wel verbeterd met betrekking tot updates en skins, hoop dat dit helpt de lijn door te zetten.
Sandor_Clegane 5 oktober 2020 10:20
Onder de vleugels van de draak is het warm zitten.
robvanwijk 5 oktober 2020 20:14
Met het Android Partner Vulnerability Initiative wil Google meer openheid geven over kwetsbaarheden. De publicatie volgt na oplossing van de bugs.
@TijsZonderH Als ik vragen mag, waar heb je "De publicatie volgt na oplossing van de bugs." precies gevonden? In de gelinkte aankondiging zie ik dat niet staan en de berichtgeving van andere media lijkt er niets over te zeggen. Waar ik vooral benieuwd naar ben is of Google met dit programma hun partners hetzelfde mes op de keel zet als ze bij concurrenten doen met Project Zero ("fix binnen 90 dagen of we publiceren voordat er een patch is").

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq