为了提升Android核心安全性,谷歌将强化Android Open Source Project(AOSP)的外部修补代码贡献审核,未来都需经由2名谷歌员工签核同意才能成为修补程序。
大部分AOSP项目都是以Apache 2.0授权,意谓着任何人都能修改代码。 这开放性使众多开发人员都能贡献代码到AOSP项目,而谷歌一些新功能也来自AOSP。 但博客Patreon Mishaal Rahman报导,谷歌对AOSP补丁的审查更为严格。 过去外部开发人员撰写的修补程序只需经一位谷歌员工审查,但消息人士透露,从下个月开始,非谷歌r贡献的AOSP修补代码,必须获得2名谷歌内部审查员同意才能上传。
至于谷歌员工撰写的修补程序,则会由所修补的组件相关部门一名成员审核,才能整合到代码中。
最新措施是为了提升AOSP软件供应链的安全性,以防止在修补程序整合到AOSP过程中,有意或无心把漏洞或恶意程序加入核心代码。 根据谷歌自己的统计,去年安全研究界在Android上发现的漏洞中,光零时差漏洞就有41个,还不包含用户迟迟未更新修补的已知漏洞。
Android Police报道2010年起,谷歌透过抓漏奖励计画,揪出1.1万个漏洞,近年谷歌发出的奖金已达到数百万美元。 一名研究人员发现一项存在Android的漏洞,能让攻击者绕过Android生物辨识(如指纹)锁定,而完全接管手机,获颁奖金7万美元。
