Google maakt tool om Android op kwetsbaarheden te scannen opensource

Google maakt een tool opensource beschikbaar waarmee smartphonefabrikanten kunnen controleren of hun Android-implementatie veilig is. Vanir bestond al, maar is nu openbaar beschikbaar. Volgens Google maakt de tool het scannen op bugs makkelijker en schaalbaar.

Google schrijft in een blogpost dat het de tool, Vanir, opensource beschikbaar maakt. De broncode daarvan staat op GitHub onder een BSD 3-licentie, nadat het bedrijf Vanir in april van dit jaar zelf al toonde.

Vanir is bedoeld voor fabrikanten van Android-telefoons en andere downstreamontwikkelaars in het Android Open Source Project. Google zegt dat de tool het oplossen van bekende kwetsbaarheden makkelijker moet maken voor die ontwikkelaars. Als er nu een kwetsbaarheid wordt gevonden, moeten de upstreamontwikkelaars daarvoor een patch doorvoeren. Vervolgens moeten ontwikkelaars, in de meeste gevallen de fabrikanten zelf, die patch weer specifiek 'porten' naar hun eigen modellen. Dat is volgens Google een 'effectief proces, maar wel een met schaalbaarheidsproblemen'. Dat probleem, waarbij fabrikanten soms tientallen verschillende modellen hebben en moeten ondersteunen, is al jaren een obstakel bij Android.

Volgens Google kan Vanir daarbij helpen. De tool kijkt naar de gebruikte broncode en vergelijkt die vervolgens met patronen van bekende kwetsbaarheden. Dat is volgens Google een betere aanpak dan wanneer codevalidators specifieke elementen zoals versienummers of repogeschiedenis moeten doorzoeken, omdat daarin fouten kunnen zitten. "Het belangrijkste doel van Vanir is om het tijdrovende en dure proces van het identificeren van ontbrekende securitypatches te automatiseren", zegt Google.

Vanir gebruikt daarvoor onder andere automatische signatureherkenning en patroonherkenningsalgoritmes. De specifieke algoritmes die Google gebruikt, hebben volgens het bedrijf een valspositiefmarge van 2,72 procent, wat betekent dat er maar weinig overbodige foutmeldingen van kwetsbaarheden worden gegeven. Google zegt verder dat het in praktijktesten zag dat er in korte tijd met weinig middelen veel signatures van kwetsbaarheden werden opgespoord. Vanir ondersteunt C, C++ en Java en kan volgens Google '95 procent van de Android-kernel' scannen op bekende kwetsbaarheden.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-12-2024 12:27
7 • submitter: Anonymoussaurus

06-12-2024 • 12:27

7

Submitter: Anonymoussaurus

Lees meer

Google repareert bug waarmee het mogelijk was om telefoonnummers te achterhalen
Google repareert bug waarmee het mogelijk was om telefoonnummers te achterhalen Nieuws van 10 juni 2025
GitHub presenteert gratis versie van Copilot in VS Code
GitHub presenteert gratis versie van Copilot in VS Code Nieuws van 19 december 2024
Huawei wil toekomstige pc's standaard op HarmonyOS NEXT laten draaien
Huawei wil toekomstige pc's standaard op HarmonyOS NEXT laten draaien Nieuws van 23 september 2024
Google brengt Android 15 uit voor ontwikkelaars
Google brengt Android 15 uit voor ontwikkelaars Nieuws van 4 september 2024
Gerucht: Google werkt aan Android 15-functie die status van opslagchip weergeeft
Gerucht: Google werkt aan Android 15-functie die status van opslagchip weergeeft Nieuws van 20 april 2024
'Komende Android-update moet afspelen AV1-video's verbeteren op budgettelefoons'
'Komende Android-update moet afspelen AV1-video's verbeteren op budgettelefoons' Nieuws van 28 februari 2024
'Android krijgt ondersteuning voor beter bellen bij bluetoothverbinding'
'Android krijgt ondersteuning voor beter bellen bij bluetoothverbinding' Nieuws van 17 april 2023
LineageOS 19 op basis van Android 12 komt uit
LineageOS 19 op basis van Android 12 komt uit Nieuws van 26 april 2022
Meer producten en artikelen
Beveiliging en antivirus Mobiele besturingssystemen Google Android

Reacties (7)

-Moderatie-faq
7
7
4
0
0
1
Wijzig sortering
CAPSLOCK2000
6 december 2024 13:42
Als er nu een kwetsbaarheid wordt gevonden, moeten de upstreamontwikkelaars daarvoor een patch doorvoeren. Vervolgens moeten ontwikkelaars, in de meeste gevallen de fabrikanten zelf, die patch weer specifiek 'porten' naar hun eigen modellen. Dat is volgens Google een 'effectief proces, maar wel een met schaalbaarheidsproblemen'. Dat probleem, waarbij fabrikanten soms tientallen verschillende modellen hebben en moeten ondersteunen, is al jaren een obstakel bij Android.
Ik vind het totaal niet effectief. Al die leveranciers moeten bij ieder patch weer in actie komen en al het werk nog een keer dunnetjes overdoen. Ik hoor nooit dat ze samenwerken of zelf bugs oplossen. Alles lijkt via Google te lopen en van upstream te moeten komen.

Vergelijk het eens met hoe Linux-distributies werken. Die werken ook samen aan een collectie software zoals de Linux-kernel. In die wereld is het gebruikelijk om zelf te proberen het probleem te fixen en niet te wachten op upstream. Distributies nemen patches van elkaar over als upstream niet snel genoeg reageert*.

In theorie zou dat ook met Android kunnen, of in ieder geval AOSP, maar in praktijk heeft Google alle touwtjes in handen en zie je maar zelden bijdrages van bv telefoonfabrikanten. Google is ook nog eens alle interessante stukken aan het overhevelen naar Google Play Services die closed source zijn.

Voor de duidelijkheid, niks is perfect, ook Linux-distributies hebben het probleem dat ze soms patches missen of vergeten. Op zich zou deze tool daar ook bij kunnen helpen.
kabelmannetje @CAPSLOCK20006 december 2024 15:15
Veel van die bouwers van telefoons, werken samen aan drivers, kernel, etc. Android is een product van 1 bedrijf, gelukkig maar. Anders werd de ontwikkeling een dramatisch traag en vol compromissen gedrocht.
uiltje 6 december 2024 13:42
Interessant. Aanvallers kunnen er natuurlijk ook wat mee door te kijken welke dingen ze onopgemerkt kunnen misbruiken. Waarschijnlijk kunnen die op andere manieren ook wel aan die app komen, dus over het algemeen zijn dit soort dingen positief en krijgen we veiliger code en Google misschien wel meer kwetsbaarheden om op te scannen.
Soulaiman 6 december 2024 15:05
Mooi. Voor mijn devices doe ik dit via Intune, gezien ik ze via de Company portal in mijn zakelijke omgeving heb gedeployed. Daar krijg ik wekelijks een overzicht met alle CVEs welke op de devices in mijn netwerk of geregistreerde devices gevonden zijn.

Vroeger deed ik hetzelfde met Wowza, ook een mooie opensource tool, wel iets moeilijker om fine te tweaken dan Intune als je niet vertrouwd bent met zulke enterprise tools.
dutchgio 6 december 2024 13:01
Android-code is misschien meer passend, nu lijkt het alsof gebruikers hun systeem kunnen gaan scannen.

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door AlphaRomeo op 6 december 2024 13:34]

TV_NERD @dutchgio6 december 2024 13:17
@TijsZonderH

Op zich wel mee eens. Mag ik "Google tool om Androidcode te scannen op kwetsbaarheden nu opensource" voorstellen? Of is 70 karakters echt nét te lang?
Axenth @dutchgio6 december 2024 13:37
Volgens Google is het technisch niet gelimiteerd voor Android. Het zou dus kunnen dat dit in de toekomst ook voor andere systemen gebruikt zal worden.
Vanir is not technically limited to Android, and we are also actively exploring problems that Vanir may help address, such as general C/C++ dependency management via integration with OSV-scanner.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq