谷歌现在公开了针对第三方设备的Android漏洞

10月3日上午消息：谷歌今天宣布推出一项新程序，该程序专门用于解决公司在第三方Android设备和由Android OEM提供服务的软件中发现的安全漏洞。

计划经理Kylie McRoberts和安全工程师Alec Guertin解释说：“ Google的Android安全和隐私团队发起了Android合作伙伴漏洞倡议(APVI)，以管理Android OEM特定的安全问题。

“ APVI旨在推动补救并向用户提供有关我们在Google上发现的影响Android合作伙伴提供的设备型号的问题的透明度。”

缩小安全差距

该计划增加了Google在安全研究人员和Android社区的帮助下发现和解决Android安全问题的其他举措，包括Android安全奖励计划(ASR)(适用于Android系统)和Google Play安全奖励计划(针对第三方应用程序)。

影响Android开源项目(AOSP)的问题会影响所有Android设备，并通过每月通过Android安全公告(ASB)发布的ASR报告进行披露。

但是，谷歌在基于Android开源项目(AOSP)的代码之外发现的漏洞仅会影响一小部分Android OEM设备，而以前并未通过公共程序进行披露。

AVPI计划通过在Google发现不由Google服务或维护的Android设备代码中发现安全错误时通知用户，解决了这一问题并提高了Android OEM设备的整体安全性。

谷歌表示：“ APVI已经解决了许多安全问题，改善了用户对权限绕过，内核中代码执行，凭证泄漏以及生成未加密备份的保护。”。

已经披露了多个Android OEM漏洞

在已经通过AVPI处理的Google发现的问题中，Google强调了可能会导致Mediatek，Digitime，魅族，中兴，Transsion，Vivo上的“权限绕开，内核中的代码执行，凭据泄漏和未加密备份的生成”的弱点。 ，Oppo或Huawei设备。

Google提供了几个漏洞示例，这些漏洞以前是在Android OEM设备中发现的，包括权限旁路问题，该问题影响了第三方预安装的空中(OTA)更新工具，凭据是通过流行的预安装程序的内置密码管理器泄漏的安装的Web浏览器，以及对特权应用程序的不必要的权限访问。

可以在https://bugs.chromium.org/p/apvi/中找到有关AVPI下Google发现的安全问题的未来漏洞披露以及已披露问题的信息。。

昨天，Google还宣布了Fuzzilli研究资助计划，该研究补助旨在旨在资助研究人员通过模糊测试发现Web浏览器JavaScript引擎JavaScriptCore(Safari)，v8(Chrome，Edge)或Spidermonkey(Firefox)中的安全问题的努力。测试(又称模糊测试)。

零项目安全研究人员塞缪尔·格罗斯(SamuelGroß)表示：“ JavaScript引擎的安全性对于用户安全仍然至关重要，最近的0day恶意攻击利用了滥用v8(Chrome背后的JavaScript引擎)中的漏洞的事实证明。