Correcta o incorrectamente, Android tiene reputación entre algunos profesionales de la seguridad como una plataforma insegura, esto es algo que Google ha tratado de combatir con iniciativas como Google Play Protect, Project Mainline para una actualización más fácil, el programa de recompensas de seguridad de Android y el programa de recompensas de seguridad de Google Play. Sin embargo, por más que lo intenten, Google no controla la gran mayoría del hardware y las aplicaciones de Android.
Con este fin, Google ha anunciado hoy su Iniciativa de vulnerabilidad de socios de Android (APVI), un programa en el que Google seguirá las mejores prácticas internacionales para la divulgación de seguridad y privacidad, para problemas que detecten con el hardware, software y servicios de socios. De hecho, Google ahora vigila públicamente la privacidad y seguridad de su propio socio.
El nuevo programa ya ha detectado, revelado y ayudado a los socios a cerrar las vulnerabilidades de seguridad, como se puede ver en el rastreador público publicado hoy. Google proporcionó tres ejemplos de problemas que ayudaron a detectar y solucionar, incluido un sistema de actualización OTA que brindaba acceso a las API de privilegios sin el consentimiento del usuario, otro ejemplo tenía un navegador web preinstalado popular que filtraba credenciales de inicio de sesión y la tercera aplicación descrita a la que se les otorgaron privilegios ellos no necesitaban.
La abrumadora mayoría de las divulgaciones actuales enumeradas ocurre con socios con sede en China. No está claro si eso es solo una coincidencia o si Google se está enfocando específicamente en los OEM chinos que producen una cantidad asombrosa de dispositivos que se venden en el escenario internacional.
En general, creemos que esta es una buena medida, ya sea que se considere que Google nombra y avergüenza a los socios o vigila su propio ecosistema, o incluso como un escaparate para ocultar los problemas de seguridad de los Androides, hacer algo es mucho mejor que no hacer nada.