Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google gaat bij Android-partners gevonden kwetsbaarheden openbaar maken

Google gaat informatie openbaar maken over kwetsbaarheden die het vindt in Android-telefoons van fabrikanten. Met het Android Partner Vulnerability Initiative wil Google meer openheid geven over kwetsbaarheden. De publicatie volgt na oplossing van de bugs.

Het nieuwe programma, afgekort APVI, is geen responsible-disclosureprogramma voor het melden van kwetsbaarheden, maar een register waar Google zelf meer informatie geeft over bugs die het zelf gevonden heeft. Het gaat dan specifiek om kwetsbaarheden in apparaten van fabrikanten die Android-toestellen maken.

"Het APVI-programma is opgezet om transparantie aan gebruikers te bieden over problemen die we hebben ontdekt die toestellen van Android-partners treffen", schrijft Google in een blogpost. Het programma valt binnen het Google Android Security & Privacy-team. Dat team begon eerder al het Security Rewards Program, waaraan ook externe bugbountyjagers mee kunnen doen. Dergelijke bugs werden in het Android Security Bulletin opgenomen. Oplossingen voor kwetsbaarheden die daarin staan, moeten door alle Android-fabrikanten worden overgenomen. "Tot voor kort hadden we geen manier om problemen die uniek zijn voor een kleiner aantal specifieke Android-oem's openbaar te maken", zegt Google.

Google heeft inmiddels al verschillende bugs ontdekt. Het zou bijvoorbeeld gaan om een webbrowser die op veel toestellen wordt meegeleverd, waarbij een ingebouwde wachtwoordmanager wachtwoorden kon lekken. Op andere apparaten was het mogelijk rechten te omzeilen en zo apk's te installeren zonder tussenkomst van de gebruiker. Google heeft die kwetsbaarheden doorgegeven aan de fabrikanten. Zodra de oplossingen zijn doorgevoerd, publiceert Google de details. Google gebruikt daarvoor de ISO 29157:2018-richtlijn die voorwaarden voor responsible disclosure voorschrijft.

Google schrijft in de blogpost niet om welke fabrikanten het gaat. Het bedrijf verwijst wel naar de bugtracker waarin staat dat het om onder andere ZTE zou gaan. Ook is te zien hoe Huawei- en Oppo-toestellen kwetsbaarheden hadden.

Door Tijs Hofmans

Redacteur privacy & security

05-10-2020 • 10:17

17 Linkedin

Reacties (17)

Wijzig sortering
Het oplossen en beter bekend maken dat er een probleem is/was klinkt goed. Maar er ontbreekt in die overeenkomst nog een belangrijk deel: de oplossing moet ook beschikbaar zijn.
Hoe zorgt dit APVI er nu voor dat gebruikers ook de oplossing krijgen?
Als er geen oplossing is dan is het toch wenselijk om kenbaar te maken aan de consument. Die kunnen dan zelf beslissen om iets anders aan te schaffen of door te gaan met een risico.
Dat informeren is zeker wenselijk. Ik zou het alleen wenselijker vinden als google dan ook een lijn gaat trekken dat consumenten ook in staat moeten zijn om die vereiste oplossing te ontvangen en niet alleen door afhankelijkheid van wispelturigheid van fabrikanten om een oplossing te leveren.
Dus als de oplossing doorgevoerd is publiceren ze het als een soort mosterd na de maaltijd.
Het publiceren alvorens het is opgelost is gratis 0-day exploits uitdelen. Het is wel redelijk standaard in de tech wereld om tijd te gunnen om een probleem op te lossen.

Het is wel fijn dat ze dit gaan publiceren, kunnen we zijn wat voor foutern er zijn en mogelijk de oem's ook van elkaars fouten leren.
Hanteerde google niet een x dagen beleid om dit op te lossen, zo niet publiceren om zo bedrijven te dwingen actie te ondernemen.
Ben benieuwd of ze hier dan vanaf stappen.
Dus als de oplossing doorgevoerd is publiceren ze het als een soort mosterd na de maaltijd.
Google gebruikt daarvoor de ISO 29157:2018-richtlijn die voorwaarden voor responsible disclosure voorschrijft.
Eerst de standaard lezen:
Vendors should work to balance risk when timing their advisory release. If no remediation exists for a vulnerability but attacks are underway, then a vendor may have to release an advisory to inform users of the risks and steps they can take to minimize or eliminate that risk.
Google heeft dus de mogelijkheid volgens de standaard om informatie over kwetsbaarheden die al worden uitgebaat vrij te geven. Of ze daar ook gebruik van maken is een tweede, omdat ze hun partners ook niet te hard tegen de schenen willen schoppen.

En natuurlijk is wachten totdat een oplossing beschikbaar is voor nog niet publiek bekende en uitgebuite kwetsbaarheden een goed iets.

[Reactie gewijzigd door The Zep Man op 5 oktober 2020 10:43]

Mosterd na de maaltijd, of extra bescherming van de telefoon / de fabrikant / de consument?
Ik vind het zelf toch altijd wel fijn dat een kwetsbaarheid (lees: veiligheidsissue) opgelost is voordat het openbaar geplubiceerd wordt en iedereen met slechte intentie hier vanaf weet.

Daarnaast zie ik dit register juist als een plek voor fabrikanten om te checken wat voor bekende kwetsbaarheden/bugs er in het verleden bekend waren, waardoor deze zijn ontstaan, wat ze doen, en hoe ze op te lossen, om niet diezelfde fout te maken.
Opzich wel logisch toch? Stel het even voor alsof het iemand is die een huis inspecteert op veiligheid. Die vindt een sleutel onder de mat en daar moet wat aan gedaan worden.

Wat er nu gebeurt is dat die informatie wordt doorgegeven aan de eigenaar van het huis, en zodra het is opgelost wordt het geplaatst op een algemene website zodat iedereen er van kan leren en dit kan voorkomen bij hun eigen huis.

Als je het zou publiceren voordat het is opgelost, is het eigenlijk hetzelfde als een sleutel vinden en dan, in plaats van de eigenaar persoonlijk in te lichten, het op het internet zetten en nog wat bekende dieven in de buurt er in taggen zodat ze in ieder geval gebruik kunnen maken van de mogelijkheid.

Het doel van dit programma is om inzicht te geven in bugs, niet om alle fabrikanten voor de leeuwen te gooien en bij iedere bug hun software in gevaar te brengen.
Verwacht je dan dat ze een kwetsbaarheid beschikbaar maken de seconde dat ze deze vinden?
Ja, er zijn zelfs stukjes software die dmv machine learning, de patches van Microsoft op Patch Thuesday uitlezen, geautomatiseerd malware schrijven, en proberen die te gebruiken om gebruikers te infecteren.
Dit alles voordat de gebruiker de tijd heeft gehad om zijn systeem te patchen.

Dus ja, 0-days worden razendsnel misbruikt.

Nevermind, ik las je vraag verkeerd. Je bedoelt of ze hem beschikbaar maken, niet of hij misbruikt wordt.

[Reactie gewijzigd door FireDrunk op 5 oktober 2020 12:31]

Ik dacht dat ze minstens 2 weken de tijd kregen van google. En daarna idd het gwn publiek maken.
Komt vaak voor dat google exploits openbaar gemaakt heeft nadat bedrijven niks gedaan hebben met de meldingen of er te lang over doen*
En weer een stap van Google om Android consistenter en betrouwbaarder te maken.

A9 en A10 waren de eerste stappen om Android te partioneren zodat updates makkelijker zijn en deels via de Playstore kunnen, A11 doet hier nog een flinke schep boven op en telefoons die met A12 worden geleverd moeten een bepaalde certificering hebben volgens mij.

Ze zitten Android fabrikanten achter de kont aan om lang updates te voorzien (Android One is hier een goed voorbeeld van) en een goede skin te leveren.
Het Android veld is de laatste jaren wel verbeterd met betrekking tot updates en skins, hoop dat dit helpt de lijn door te zetten.
Onder de vleugels van de draak is het warm zitten.
Met het Android Partner Vulnerability Initiative wil Google meer openheid geven over kwetsbaarheden. De publicatie volgt na oplossing van de bugs.
@Tijs Hofmans Als ik vragen mag, waar heb je "De publicatie volgt na oplossing van de bugs." precies gevonden? In de gelinkte aankondiging zie ik dat niet staan en de berichtgeving van andere media lijkt er niets over te zeggen. Waar ik vooral benieuwd naar ben is of Google met dit programma hun partners hetzelfde mes op de keel zet als ze bij concurrenten doen met Project Zero ("fix binnen 90 dagen of we publiceren voordat er een patch is").


Om te kunnen reageren moet je ingelogd zijn


Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True