HABER ÖZETİ
Android ekosistemindeki güvenlik güncellemeleri, her bir alt üreticinin güvenlik düzeltmelerini entegre etmekten ve bunları bireysel kullanıcı cihazlarına dağıtmaktan sorumlu olduğu karmaşık, çok aşamalı bir olaydır. Üreticilerin, Android işletim sisteminin ve ilgili yazılımın farklı sürümlerini çalıştıran farklı modellere sahip çeşitli cihaz portföyleri vardır; bu, birden fazla güncelleme sürümünden sorumlu oldukları anlamına gelir. Şu anki haliyle Android cihazları güncellemek hem zaman alıcı hem de emek yoğun bir işlemdir.
AlışkanlıklarGoogle’ın en yeni açık kaynaklı güvenlik yaması doğrulama aracı olan statik kod analizi kullanarak özel platform kodunu tarayarak platformda hangi güvenlik yamalarının eksik olduğunu belirleme sürecini hızlandırır. Bir araştırmaya göre, OEM’ler bu süreci otomatikleştirerek eksik güvenlik güncellemelerini mevcut yöntemlerden çok daha hızlı tespit edebiliyor. Google Güvenlik Blogu’ndaki duyuru gönderisi.
Şirket, Vanir’in halihazırda genel düzeltmeleri olan tüm Android, Wear ve Pixel güvenlik açıklarının %95’ini kapsadığını ve %97 doğruluk oranına sahip olduğunu söyledi. Google’da Vanir, derleme sisteminin bir parçası ve 1.300’den fazla güvenlik açığına karşı test yapıyor ve Google’a göre dahili ekipleri “bugüne kadar yama düzeltme süresinde 500 saatten fazla” kurtardı.
Araç, hangi güncellemelerin eksik olduğunu belirlemek için meta verilere (sürüm numaraları, depo geçmişi veya yapı yapılandırmaları gibi) güvenmez. Bunun yerine Vanir, otomatik imza iyileştirme tekniklerini ve çoklu model analiz algoritmalarını kullanıyor. Google, bu algoritmaların düşük yanlış alarm oranlarına sahip olduğunu iddia ederek, Vanir’in iki yıllık testinde imzaların yalnızca %2,72’sinin yanlış alarmları tetiklediğini belirtti.
Şirket, “Bu, gereksiz uyarıları ve manuel inceleme çabalarını en aza indirirken, Vanir’in kod değişikliklerinde bile eksik yamaları verimli bir şekilde bulmasına olanak tanıyor” dedi.
Google, tek bir mühendisin Vanir’i 150’den fazla güvenlik açığı için imza oluşturmak ve alt dallardaki eksik güvenlik yamalarını doğrulamak için kullandığını ve mühendisin bunu yalnızca beş gün içinde yaptığını belirtti.
Vanir ilk olarak Nisan ayında Android Bootcamp’ta tanıtılmış ve Android için tasarlanmış olsa da, araç küçük değişikliklerle diğer ekosistemlere ve platformlara da uyarlanabiliyor. Vanir, Python kütüphanesinin yanı sıra bağımsız bir uygulama olarak da kullanılabilir. Kullanıcılar, aracı Vanir tarayıcı kitaplıklarıyla bağlayarak Vanir’i sürekli oluşturma veya test zincirlerine entegre edebilirler.