Google ha annunciato la Android Partner Vulnerability Initiative (APVI) con l’obiettivo di evidenziare le vulnerabilità nei dispositivi Android di terze parti e quindi sollecitare la distribuzione delle patch da parte degli OEM. L’iniziativa si aggiunge alle altre già attive che garantiscono la massima sicurezza del sistema operativo (ma non sempre con risultati ottimali).
Google sottolinea che, insieme a sviluppatori e produttori, lavora ogni giorno per mantenere sicura la piattaforma Android. Per questo motivo sono stati introdotti diversi programmi, come Android Security Rewards Program (i ricercatori possono segnalare le vulnerabilità nei Pixel) e Google Play Security Reward (i ricercatori possono segnalare le vulnerabilità nelle app). Nel primo caso, i dettagli vengono comunicati attraverso i bollettini di sicurezza mensili che interessano il codice di Android Open Source Project. Le patch devono essere adottate dagli OEM, in quanto si tratta di bug presenti su tutti i dispositivi.
APVI consente invece di segnalare le vulnerabilità scoperte da Google nel codice delle versioni personalizzate di Android installate su diversi dispositivi. L’iniziativa segue le specifiche ISO/IEC 29147:2018 e copre vari problemi di sicurezza scoperti nel codice di terze parti, tra cui quelli che consentono di eseguire codice nel kernel, rubare le credenziali e bypassare i permessi. Al momento sul sito dedicato sono elencate 10 vulnerabilità, 8 delle quali risolte dai rispettivi produttori.
Google ha ovviamente contattato gli OEM prima di svelare le vulnerabilità. L’intento dell’azienda di Mountain View è “mettere pressione” ai produttori, chiedendo una maggiore velocità nella distribuzione delle patch a beneficio della loro immagine pubblica e soprattutto degli utenti.