為了提升Android核心安全性,Google將強化Android Open Source Project(AOSP)的外部修補程式碼貢獻審核,未來都需經由2名Google員工簽核同意才能成為修補程式。
大部份AOSP專案都是以Apache 2.0授權,意謂著任何人都能修改程式碼。這開放性使眾多開發人員都能貢獻程式碼到AOSP專案,而Google一些新功能也來自AOSP。但部落格Patreon Mishaal Rahman報導,Google對AOSP修補程式的審查更為嚴格。過去外部開發人員撰寫的修補程式只需經一位Google員工審查,但消息人士透露,從下個月開始,非Googler貢獻的AOSP修補程式碼,必須獲得2名Google內部審查員同意才能上傳。
至於Google員工撰寫的修補程式,則會由所修補的元件相關部門一名成員審核,才能整合到程式碼中。
最新措施是為了提升AOSP軟體供應鏈的安全性,以防止在修補程式整合到AOSP過程中,有意或無心把漏洞或惡意程式加入核心程式碼。根據Google自己的統計,去年安全研究界在Android上發現的漏洞中,光零時差漏洞就有41個,還不包含使用者遲遲未更新修補的已知漏洞。
Android Police報導2010年起,Google透過抓漏獎勵計畫,揪出1.1萬個漏洞,近年Google發出的獎金已達到數百萬美元。一名研究人員發現一項存在Android的漏洞,能讓攻擊者繞過Android生物辨識(如指紋)鎖定,而完全接管手機,獲頒獎金7萬美元。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-22
2024-11-25