Google vient de lancer l'Android Partner Vulnerability Initiative , une plateforme qui s'adresse principalement aux appareils Android produits et commercialisés par les différentes entreprises leaders du secteur et qui concerne essentiellement l'aspect sécurité . Android fournit déjà plusieurs outils pour assurer la sécurité du système d'exploitation: par exemple via l'Android Security Rewards Program (ASR), il est possible de signaler les failles de sécurité qui caractérisent les applications tierces, tandis que via les Bulletins de sécurité Android (ASB) spécifie les dispositions que les fabricants doivent respecter lors de la mise en œuvre logicielle des correctifs de sécurité périodiques.

La nouvelle initiative de vulnérabilité des partenaires Android abordera des problèmes spécifiques qui peuvent générer des failles de sécurité dans Android et qui peuvent par conséquent mettre en danger la vie privée des utilisateurs, problèmes qui ne sont généralement pas couverts par les protocoles de sécurité actuels intégrés à Android. Allons les voir ensemble:

- Permission Bypass qui peut être introduit dans les smartphones via les mises à jour OTA et ouvrir les portes de l'appareil aux codes malveillants, l'installation d'apk suspect et gérer les autorisations pour les différentes applications installées à l'insu de l'utilisateur.

- Credential Leak , qui peut impliquer les gestionnaires de mots de passe des navigateurs Web populaires afin de voir les mêmes mots de passe enregistrés en texte clair. Cela s'est déjà produit en exposant WebView via JavaScript sur des pages Web spécifiques.

- Applications trop privilégiées , pour lesquelles certaines applications peuvent utiliser indépendamment des autorisations d'accès spéciales. Ces autorisations peuvent également conduire au partage d'informations d'identification et de mots de passe à l'insu de l'utilisateur.