جوجل تسرد ثغرات أندرويد ضمن أجهزة الشركات
أطلقت شركة جوجل برنامجًا جديدًا مصممًا للتعامل مع ثغرات أندرويد الأمنية التي تكتشفها عملاقة البحث في الأجهزة والبرامج التابعة لجهات خارجية، مثل تلك التي تصنعها الشركات المصنعة لأجهزة أندرويد.
وقالت مديرة البرنامج كايلي ماكروبرتس (Kylie McRoberts): أطلق فريق أمان أندرويد في جوجل مبادرة الثغرات الأمنية لشريك أندرويد (APVI) من أجل إدارة مشكلات الأمان الخاصة بمصنعي الأجهزة لنظام التشغيل أندرويد.
وقال مهندس الأمان أليك جورتين (Alec Guertin): صُممت مبادرة الثغرات الأمنية لشريك أندرويد (APVI) لدفع الإصلاح وتوفير الشفافية للمستخدمين حول المشكلات التي اكتشفتها جوجل، التي تؤثر في الأجهزة المباعة عبر شركاء أندرويد.
ويضاف هذا البرنامج إلى مبادرات جوجل الأخرى المحيطة بجهودها لاكتشاف مشكلات أمان أندرويد ومعالجتها بمساعدة الباحثين الأمنيين، مثل برنامج مكافآت أمان أندرويد وبرنامج مكافآت أمان متجر جوجل بلاي.
وتؤثر المشكلات – التي تؤثر في مشروع أندرويد المفتوح المصدر (AOSP) – في جميع أجهزة أندرويد، ويتم الكشف عنها من خلال تقارير برنامج مكافآت أمان أندرويد الصادرة عبر نشرات أمان أندرويد الشهرية (ASB).
ومع ذلك، فإن الثغرات الأمنية التي اكتشفها جوجل خارج مشروع أندرويد المفتوح المصدر (AOSP)، التي تؤثر في مجموعة فرعية صغيرة من أجهزة أندرويد فقط، لم يتم الكشف عنها سابقًا عبر برنامج عام.
وتعمل مبادرة الثغرات الأمنية لشريك أندرويد (APVI) على إصلاح هذا الأمر وتحسين الأمان الكلي لأجهزة أندرويد من خلال السماح للمستخدمين بمعرفة متى تعثر جوجل على أخطاء أمنية في التعليمات البرمجية لجهاز أندرويد.
وقالت جوجل: عالجت مبادرة الثغرات الأمنية لشريك أندرويد (APVI) عددًا من مشكلات الأمان، وحسنت حماية المستخدم ضد تجاوز الأذونات، وتنفيذ التعليمات البرمجية في النواة، وتسريب البيانات، وإنشاء نسخ احتياطية غير مشفرة.
ومن بين المشكلات التي اكتشفتها جوجل نقاط الضعف التي قد تؤدي إلى تجاوز الأذونات وتنفيذ التعليمات البرمجية في النواة وتسريبات البيانات وإنشاء نسخ احتياطية غير مشفرة ضمن أجهزة ميدياتيك وميزو وهواوي وأوبو وفيفو و (ZTE).
وقدمت جوجل العديد من الأمثلة على الثغرات الأمنية التي تم اكتشافها سابقًا في أجهزة أندرويد، ومن ضمنها مشكلة تجاوز الإذن التي تؤثر في أداة التحديث عبر الهواء، وتسريب البيانات عبر مدير كلمات المرور المدمج في مستعرض ويب مثبت سابقًا، وأذونات ذات امتيازات عالية غير ضرورية للوصول إلى التطبيقات.
كما أعلنت جوجل سابقًا عن برنامج (Fuzzilli Research Grant)، وهو منحة بحثية مصممة لرعاية جهود الباحثين لاكتشاف مشكلات الأمان في محركات جافا سكريبت لمتصفحات الويب، مثل (JavaScriptCore) لمتصفح سفاري و (v8) لمتصفح كروم أو إيدج و (Spidermonkey) لمتصفح فايرفوكس.