Google maakt tool die Androidtelefoons op missende updates checkt open source
Google heeft een tool open source gemaakt waarmee fabrikanten van Androidtelefoons kunnen controleren of hun toestellen beveiligingsupdates missen. De tool is technisch echter niet beperkt tot Android en kan ook voor andere ecosystemen worden gebruikt. Het verhelpen van kwetsbaarheden binnen Android is een meerlaags proces. Wanneer een beveiligingslek wordt gevonden komen de ontwikkelaars van het Android Open Source Project (AOSP) met patches. Fabrikanten van Androidtelefoons moeten die patches vervolgens aanpassen en testen voor hun toestellen, voordat ze onder hun gebruikers kunnen worden uitgerold.
"Dit proces, hoewel effectief, kan schaalbaarheidsuitdagingen met zich meebrengen, zeker voor fabrikanten die een breed scala aan toestellen beheren en oude modellen met een complexe updategeschiedenis. Ervoor zorgen dat verschillende en aangepaste toestellen met patches zijn gedekt vereist vanwege de handmatige aard van het backporten van patches vaak aanzienlijke inspanningen", aldus het Google Open Source Security Team.
Als oplossing is Vanir ontwikkeld, een tool die broncode-gebaseerde statische analyse toepast om de broncode van een Androidversie met bekende kwetsbare codepatronen te vergelijken. "Vanir is niet afhankelijk van traditionele metadata-gebaseerde validatiemechanismes, zoals versienummers, repository geschiedenis en build configuraties, die gevoelig zijn voor fouten. Deze unieke aanpak laat Vanir de gehele codebase analyseren met volledige geschiedenis, individuele bestanden of zelfs gedeeltelijke codefragmenten", laat het team verder weten.
De tool is vooral bedoeld om het controleren op ontbrekende updates in aangepaste Androidversies van fabrikanten te automatiseren. Het handmatig controleren hierop is tijdsintensief, kostbaar en kan ervoor zorgen dat Androidtelefoons lange tijd kwetsbaar voor bekende beveiligingslekken zijn. Vanir is ontwikkeld als losse applicatie maar ook als Python-library. Daarnaast is het niet beperkt tot het Android-ecosysteem en kunnen gebruikers de tool aanpassen aan het ecosysteem dat zij willen beschermen, aldus Google.
https://search.f-droid.org/?q=termux&lang=en
https://wiki.termux.com/wiki/Main_Page
Het is wel degelijk IT jargon, en "besturingssysteem" is veel beperkter dan 'ecosysteem' .
"besturingssysteem" is in de IT al bijzonder onduidelijk - het is in elk geval de kernel , maar hoeveel meer ?
systeem libraries ? userland applicaties ? welke ? allemaal ?
Is Open Office deel van "het besturingsysteem Linux" ?
En KDE ?
Sterker - nerds roepen altijd dat "Linux" alleen op de kernel slaat, en de rest is Redhat/Debian/Ubuntu etc . Maar waar houdt "besturingssysteem" op en begint "de rest" ?
Is Photoshop (Mac) deel van het "besturingssysteem MacOS" ?
Een tool die "alle software die erop kan draaien" checked mag terecht 'ecosysteem' genoemd worden
Het is wel degelijk IT jargon, en "besturingssysteem" is veel beperkter dan 'ecosysteem' .
"besturingssysteem" is in de IT al bijzonder onduidelijk - het is in elk geval de kernel , maar hoeveel meer ?
systeem libraries ? userland applicaties ? welke ? allemaal ?
Is Open Office deel van "het besturingsysteem Linux" ?
En KDE ?
Sterker - nerds roepen altijd dat "Linux" alleen op de kernel slaat, en de rest is Redhat/Debian/Ubuntu etc . Maar waar houdt "besturingssysteem" op en begint "de rest" ?
Is Photoshop (Mac) deel van het "besturingssysteem MacOS" ?
Een tool die "alle software die erop kan draaien" checked mag terecht 'ecosysteem' genoemd worden
Het is wel degelijk IT jargon, en "besturingssysteem" is veel beperkter dan 'ecosysteem' .
"besturingssysteem" is in de IT al bijzonder onduidelijk - het is in elk geval de kernel , maar hoeveel meer ?
systeem libraries ? userland applicaties ? welke ? allemaal ?
Is Open Office deel van "het besturingsysteem Linux" ?
En KDE ?
Sterker - nerds roepen altijd dat "Linux" alleen op de kernel slaat, en de rest is Redhat/Debian/Ubuntu etc . Maar waar houdt "besturingssysteem" op en begint "de rest" ?
Is Photoshop (Mac) deel van het "besturingssysteem MacOS" ?
Een tool die "alle software die erop kan draaien" checked mag terecht 'ecosysteem' genoemd worden
Oh, je bedoelt dat 'besturingsssysteem' dan inderdaad alleen op de kernel slaat ?
Tsja, dan zul je toch moeten toegeven dat er een ander woord nodig is voor "de rest" van het systeem. Welkom, ecosystem.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?