Iniciativa já estava em andamento, mas agora se tornou pública. Divulgação de detalhes técnicos poderá ser limitada.

Google criou procedimento para comunicar e revelar falhas descobertas em programas desenvolvidos por fabricantes de dispositivos. — Foto: Altieres Rohr/G1

O Google anunciou o lançamento de uma iniciativa voltada ao aprimoramento do software criado pelas fabricantes de celulares com Android para personalizar seus sistemas.

A companhia pretende revelar publicamente as falhas de segurança descobertas por seus especialistas, estimulando a correção dos problemas e melhorando a transparência.

Chamado de Android Partner Vulnerability Initiative (APVI, "Iniciativa de Vulnerabilidades em Parceiros do Android", em tradução livre), o projeto complementa outras medidas do Google, como a publicação mensal de boletins e pacotes de segurança do Android que afetam praticamente todos os dispositivos em que o sistema está instalado.

O Google também já dispõe de uma iniciativa que recompensa especialistas independentes que encontram falhas em qualquer aplicativo da Play Store com mais de 100 milhões de downloads.

Mas, enquanto vulnerabilidades em apps da loja normalmente têm alcance limitado, as falhas no software das fabricantes podem ter um potencial de risco maior. Como esses códigos vêm embutidos no sistema, é normal que ele tenha permissões elevadas – aumentando também as possibilidades de ataque.

A APVI já está funcionando. Com o anúncio público da iniciativa, o Google liberou acesso à lista das falhas já corrigidas pelos fabricantes após estes serem contatados pelos especialistas da empresa.

Já constam na lista fabricantes como Huawei, ZTE, Oppo e MediaTek (que fabrica chips integrados para outros fabricantes). Por enquanto há dez falhas listadas pelo Google – algumas delas permitem burlar outras medidas de segurança do Android, o que agravaria um ataque no mundo real.

No entanto, a empresa só permite o acesso aos relatórios de falhas já corrigidas, o que significa que pode haver outros problemas cuja solução ainda está sendo encaminhada.

Até os relatórios públicos possuem seções "confidenciais" que foram removidas antes da publicação – o objetivo é evitar que hackers se aproveitem dessa informação para atacar aparelhos que não foram atualizados.

"Até recentemente, nós não tínhamos uma maneira definida de processar os problemas de seguranças descobertos pelo Google fora do código base do Android e que são exclusivos de para um conjunto bem menor de OEMs [fabricantes de dispositivos] do Android.

O APVI pretende fechar esta lacuna, adicionando outra camada de segurança para este grupo específico de OEMs do Android", explicou o Google.

A página que lista os problemas já corrigidos por intermédio do APVI pode ser acessada aqui (em inglês).