Google針對OEM業者推出Android漏洞合作夥伴倡議

Google上周發表了Android漏洞合作夥伴倡議（Android Partner Vulnerability Initiative，APVI），目的是為了揭露Android原始設備製造商（OEM）的裝置漏洞，以讓使用者得知裝置的安全問題，同時督促業者修補。

其實Google已替Android生態體系建立了多項的漏洞揭露及修補專案，涵蓋鎖定Android系統的Android抓漏獎勵專案（Android Security Rewards Program，ASR），或是針對Android程式的Google Play抓漏獎勵專案（Google Play Security Rewards Program），而且藉由每月的安全公告（Android Security Bulletins，ASB）來公布及修補ASR。

只不過，第三方的Android裝置製造商除了部署ASB之外，它們並未被強迫部署屬於個別裝置的安全漏洞修補，這使得Google祭出APVI，對外公布由Google所發現的特定Android裝置的安全漏洞，以對使用者提供更透明化的資訊，同時也用來督促業者儘快修補。

Google強調，APVI涵蓋的是那些並非由Google所提供或維護的程式碼，而且迄今已處理了許多安全問題，包括權限繞過、於核心中執行程式碼、憑證外洩或是產生未加密的備份。

例如有些第三方裝置所預裝的OTA更新解決方案，可直接取得各種權限API；或者是有些裝置預裝的瀏覽器，所內建的密碼管理員可曝露在WebView中，而允許惡意網站存取所有的加密密碼。

而根據APVI目前所列出的漏洞列表，Android裝置製造商已經修補了8個安全漏洞，涉及的品牌包括聯發科、魅族、中興、華為、Oppo及Vivo等。