Google maakt tool om Android op kwetsbaarheden te scannen opensource

Google maakt een tool opensource beschikbaar waarmee smartphonefabrikanten kunnen controleren of hun Android-implementatie veilig is. Vanir bestond al, maar is nu openbaar beschikbaar. Volgens Google maakt de tool het scannen op bugs makkelijker en schaalbaar.

Google schrijft in een blogpost dat het de tool, Vanir, opensource beschikbaar maakt. De broncode daarvan staat op GitHub onder een BSD 3-licentie, nadat het bedrijf Vanir in april van dit jaar zelf al toonde.

Vanir is bedoeld voor fabrikanten van Android-telefoons en andere downstreamontwikkelaars in het Android Open Source Project. Google zegt dat de tool het oplossen van bekende kwetsbaarheden makkelijker moet maken voor die ontwikkelaars. Als er nu een kwetsbaarheid wordt gevonden, moeten de upstreamontwikkelaars daarvoor een patch doorvoeren. Vervolgens moeten ontwikkelaars, in de meeste gevallen de fabrikanten zelf, die patch weer specifiek 'porten' naar hun eigen modellen. Dat is volgens Google een 'effectief proces, maar wel een met schaalbaarheidsproblemen'. Dat probleem, waarbij fabrikanten soms tientallen verschillende modellen hebben en moeten ondersteunen, is al jaren een obstakel bij Android.

Volgens Google kan Vanir daarbij helpen. De tool kijkt naar de gebruikte broncode en vergelijkt die vervolgens met patronen van bekende kwetsbaarheden. Dat is volgens Google een betere aanpak dan wanneer codevalidators specifieke elementen zoals versienummers of repogeschiedenis moeten doorzoeken, omdat daarin fouten kunnen zitten. "Het belangrijkste doel van Vanir is om het tijdrovende en dure proces van het identificeren van ontbrekende securitypatches te automatiseren", zegt Google.

Vanir gebruikt daarvoor onder andere automatische signatureherkenning en patroonherkenningsalgoritmes. De specifieke algoritmes die Google gebruikt, hebben volgens het bedrijf een valspositiefmarge van 2,72 procent, wat betekent dat er maar weinig overbodige foutmeldingen van kwetsbaarheden worden gegeven. Google zegt verder dat het in praktijktesten zag dat er in korte tijd met weinig middelen veel signatures van kwetsbaarheden werden opgespoord. Vanir ondersteunt C, C++ en Java en kan volgens Google '95 procent van de Android-kernel' scannen op bekende kwetsbaarheden.

Door Tijs Hofmans

Nieuwscoördinator

06-12-2024 • 12:27

7

Submitter: Anonymoussaurus

Reacties (7)

7
7
4
0
0
1
Wijzig sortering
Als er nu een kwetsbaarheid wordt gevonden, moeten de upstreamontwikkelaars daarvoor een patch doorvoeren. Vervolgens moeten ontwikkelaars, in de meeste gevallen de fabrikanten zelf, die patch weer specifiek 'porten' naar hun eigen modellen. Dat is volgens Google een 'effectief proces, maar wel een met schaalbaarheidsproblemen'. Dat probleem, waarbij fabrikanten soms tientallen verschillende modellen hebben en moeten ondersteunen, is al jaren een obstakel bij Android.
Ik vind het totaal niet effectief. Al die leveranciers moeten bij ieder patch weer in actie komen en al het werk nog een keer dunnetjes overdoen. Ik hoor nooit dat ze samenwerken of zelf bugs oplossen. Alles lijkt via Google te lopen en van upstream te moeten komen.

Vergelijk het eens met hoe Linux-distributies werken. Die werken ook samen aan een collectie software zoals de Linux-kernel. In die wereld is het gebruikelijk om zelf te proberen het probleem te fixen en niet te wachten op upstream. Distributies nemen patches van elkaar over als upstream niet snel genoeg reageert*.

In theorie zou dat ook met Android kunnen, of in ieder geval AOSP, maar in praktijk heeft Google alle touwtjes in handen en zie je maar zelden bijdrages van bv telefoonfabrikanten. Google is ook nog eens alle interessante stukken aan het overhevelen naar Google Play Services die closed source zijn.

Voor de duidelijkheid, niks is perfect, ook Linux-distributies hebben het probleem dat ze soms patches missen of vergeten. Op zich zou deze tool daar ook bij kunnen helpen.
Veel van die bouwers van telefoons, werken samen aan drivers, kernel, etc. Android is een product van 1 bedrijf, gelukkig maar. Anders werd de ontwikkeling een dramatisch traag en vol compromissen gedrocht.
Interessant. Aanvallers kunnen er natuurlijk ook wat mee door te kijken welke dingen ze onopgemerkt kunnen misbruiken. Waarschijnlijk kunnen die op andere manieren ook wel aan die app komen, dus over het algemeen zijn dit soort dingen positief en krijgen we veiliger code en Google misschien wel meer kwetsbaarheden om op te scannen.
Mooi. Voor mijn devices doe ik dit via Intune, gezien ik ze via de Company portal in mijn zakelijke omgeving heb gedeployed. Daar krijg ik wekelijks een overzicht met alle CVEs welke op de devices in mijn netwerk of geregistreerde devices gevonden zijn.

Vroeger deed ik hetzelfde met Wowza, ook een mooie opensource tool, wel iets moeilijker om fine te tweaken dan Intune als je niet vertrouwd bent met zulke enterprise tools.
Android-code is misschien meer passend, nu lijkt het alsof gebruikers hun systeem kunnen gaan scannen.

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door AlphaRomeo op 6 december 2024 13:34]

@TijsZonderH

Op zich wel mee eens. Mag ik "Google tool om Androidcode te scannen op kwetsbaarheden nu opensource" voorstellen? Of is 70 karakters echt nét te lang?
Volgens Google is het technisch niet gelimiteerd voor Android. Het zou dus kunnen dat dit in de toekomst ook voor andere systemen gebruikt zal worden.
Vanir is not technically limited to Android, and we are also actively exploring problems that Vanir may help address, such as general C/C++ dependency management via integration with OSV-scanner.

Op dit item kan niet meer gereageerd worden.