为了提升Android核心安全性,Google将强化Android Open Source Project(AOSP)的外部修补代码贡献审核,未来都需经由2名Google员工签核同意才能成为修补程序。
大部分AOSP项目都是以Apache 2.0授权,意谓着任何人都能修改代码。 这开放性使众多开发人员都能贡献代码到AOSP项目,而Google一些新功能也来自AOSP。 但博客Patreon Mishaal Rahman报导,Google对AOSP补丁的审查更为严格。 过去外部开发人员撰写的修补程序只需经一位Google员工审查,但消息人士透露,从下个月开始,非Googler贡献的AOSP修补代码,必须获得2名Google内部审查员同意才能上传。
至于Google员工撰写的修补程序,则会由所修补的组件相关部门一名成员审核,才能整合到代码中。
最新措施是为了提升AOSP软件供应链的安全性,以防止在修补程序整合到AOSP过程中,有意或无心把漏洞或恶意程序加入核心代码。 根据Google自己的统计,去年安全研究界在Android上发现的漏洞中,光零时差漏洞就有41个,还不包含用户迟迟未更新修补的已知漏洞。
Android Police报道2010年起,Google通过抓漏奖励计画,揪出1.1万个漏洞,近年Google发出的奖金已达到数百万美元。 一名研究人员发现一项存在Android的漏洞,能让攻击者绕过Android生物辨识(如指纹)锁定,而完全接管手机,获颁奖金7万美元。
