Google розповість про проблеми популярних Android-смартфонів

Незважаючи на те що останнім часом серед виробників смартфонів стало навіть модно підтримувати свої апарати в актуальному стані, регулярно їх оновлюючи, від щомісячних патчів безпеки для них завжди було менше толку, ніж для пристроїв лінійки Google Pixel. Адже якщо «пікселі» працюють на базі чистого Android, то і проблеми безпеки у них одні, а в прошивках сторонніх виробників, які в процесі їх проектування напевно допускають помилки, проблеми ці зовсім інші. Але Google вирішила дослідити і їх.

Android Partner Vulnerability Initiative - нова ініціатива Google з виявлення вразливостей у сторонніх смартфонах

Google вивчатиме проблеми безпеки смартфонів сторонніх виробників в рамках програми Android Partner Vulnerability Initiative. Таким чином у компанії хочуть прискорити виправлення недоліків у прошивках усіх апаратів під управлінням Android, а не тільки Google Pixel, роблячи це максимально прозоро для користувачів. Якщо раніше Google досліджувала тільки недоліки чистої версії Android і не дивилася далі, то тепер в плани пошукового гіганта входить виявлення вразливостей і за межами стокової операційки.

Звідки беруться вразливості в Android

В Android-смартфонах чимало вразливостей, але провокує їх не Google, а самі виробники

Незважаючи на те що Google не несе відповідальності за вразливості в прошивках смартфонів, які були викликані використанням кастомних оболонок і лаунчерів, вони «потенційно здатні чинити негативний вплив на стан безпеки пристроїв на Android і їх користувачів». Саме так у компанії пояснили необхідність запуску нової ініціативи з виявлення проблем безпеки у сторонніх апаратах. Простіше кажучи, Google не влаштовує, що через недбалість виробників, нездатних самостійно виявити і виправити існуючі баги і прогалини, страждає авторитет Android.

Безумовно, сама по собі програма Android Partner Vulnerability Initiative - це справа блага, враховуючи, що виробники досить часто допускають помилки при проектуванні своїх прошивок, а потім не виправляють їх. Але поки запитань до ініціативи все-таки більше ніж відповідей:

• Чи є участь у програмі обов'язковою для виробників
• Як Google вибирає, смартфони якого виробника перевіряти
• Чи зможуть виробники відмовитися від того, щоб їх смартфони перевіряли
• Чи є вразливості, які знайшла Google, обов'язковими до виправлення
• Чи будуть якісь суворо окреслені терміни виправлення вразливостей, знайдених Google
• Чи будуть виправлення включатися в щомісячні патчі безпеки або їх потрібно буде випускати окремо
• Хто буде повинен розробляти оновлення з виправленнями вразливостей
• Як чинити, якщо виробники вважатимуть «вразливість», знайдену Google, особливістю своєї прошивки

Оновлення безпеки Android

Щомісячних оновлень безпеки буде недостатньо для захисту всіх Android-смартфонів

На даний момент відомо, що Google перевірила тільки деякі смартфони Meizu і випустила по них так званий бюлетень безпеки. Це список всіх вразливостей, які були знайдені в прошивці перевіреного апарату. Точно такий же бюлетень Google щомісяця публікує за своїми власними апаратами. Інша справа, що вона попередньо виправляє всі проломи в прошивках своїх апаратів, щоб зловмисники не змогли ними скористатися в особистих цілях. А у випадку з Meizu я б не був упевнений в тому, що знайдені вразливості хтось виправив.

Тому зараз перед Google стоїть завдання щодо формування ефективного інструменту впливу на виробників, яких явно слід зобов'язати виправляти критичні вразливості, знайдені експертами пошукового гіганта. Адже в іншому випадку висока ймовірність, що бюлетень безпеки, який буде публікувати Google, зможе просто стати відмінним керівництвом до дії для хакерів, які почнуть направо-наліво зламувати вразливі пристрої. Але оскільки пошуковому гіганту досі не вдалося переконати вендорів хоча б просто адаптувати вже готові патчі безпеки, я думаю, що з нової ініціативи нічого путнього не вийде.