Google maakt een tool opensource beschikbaar waarmee smartphonefabrikanten kunnen controleren of hun Android-implementatie veilig is. Vanir bestond al, maar is nu openbaar beschikbaar. Volgens Google maakt de tool het scannen op bugs makkelijker en schaalbaar.
Google schrijft in een blogpost dat het de tool, Vanir, opensource beschikbaar maakt. De broncode daarvan staat op GitHub onder een BSD 3-licentie, nadat het bedrijf Vanir in april van dit jaar zelf al toonde.
Vanir is bedoeld voor fabrikanten van Android-telefoons en andere downstreamontwikkelaars in het Android Open Source Project. Google zegt dat de tool het oplossen van bekende kwetsbaarheden makkelijker moet maken voor die ontwikkelaars. Als er nu een kwetsbaarheid wordt gevonden, moeten de upstreamontwikkelaars daarvoor een patch doorvoeren. Vervolgens moeten ontwikkelaars, in de meeste gevallen de fabrikanten zelf, die patch weer specifiek 'porten' naar hun eigen modellen. Dat is volgens Google een 'effectief proces, maar wel een met schaalbaarheidsproblemen'. Dat probleem, waarbij fabrikanten soms tientallen verschillende modellen hebben en moeten ondersteunen, is al jaren een obstakel bij Android.
Volgens Google kan Vanir daarbij helpen. De tool kijkt naar de gebruikte broncode en vergelijkt die vervolgens met patronen van bekende kwetsbaarheden. Dat is volgens Google een betere aanpak dan wanneer codevalidators specifieke elementen zoals versienummers of repogeschiedenis moeten doorzoeken, omdat daarin fouten kunnen zitten. "Het belangrijkste doel van Vanir is om het tijdrovende en dure proces van het identificeren van ontbrekende securitypatches te automatiseren", zegt Google.
Vanir gebruikt daarvoor onder andere automatische signatureherkenning en patroonherkenningsalgoritmes. De specifieke algoritmes die Google gebruikt, hebben volgens het bedrijf een valspositiefmarge van 2,72 procent, wat betekent dat er maar weinig overbodige foutmeldingen van kwetsbaarheden worden gegeven. Google zegt verder dat het in praktijktesten zag dat er in korte tijd met weinig middelen veel signatures van kwetsbaarheden werden opgespoord. Vanir ondersteunt C, C++ en Java en kan volgens Google '95 procent van de Android-kernel' scannen op bekende kwetsbaarheden.