Les programmes et initiatives de sécurité commencent à être légion pour Google. Android n'y échappe pas et l'Android Partner Vulnerability Initiative (APVI) est la dernière illustration dans ce domaine. Elle s'attaque à la protection des appareils tiers.

" L'APVI favorise la remédiation et la transparence vis-à-vis des utilisateurs sur les problèmes que nous avons découverts chez Google et qui affectent les modèles d'appareils livrés par les partenaires Android ", écrit Google.

Autrement dit et donc pour des appareils non-Pixel, Google va avertir les fabricants (les OEM) de problèmes de sécurité qui ont été débusqués. En tenant également les utilisateurs informés, c'est accessoirement un moyen de pression pour pousser à l'application plus rapide de correctifs.

Selon Google, l'APVI ajoute une autre couche de sécurité et comble une lacune avec le fait qu'il n'y avait jusqu'à présent pas de moyen clair pour le traitement des bugs de sécurité découverts par ses soins et en dehors du code AOSP (Android Open Source Project).

Les vulnérabilités de sécurité affectant l'AOSP touchent tous les appareils Android et sont divulguées via les bulletins mensuels Android Security Bulletins (ASP). Pour les vulnérabilités hors de l'AOSP et touchant un groupe spécifique d'appareils Android, il manquait un programme public de divulgation.

Google cite les exemples de versions d'une solution tierce de mises à jour en OTA qui exposaient des API avec des privilèges élevés, un navigateur web dit populaire et préinstallé pour lequel le gestionnaire de mots de passe intégré représentait un risque d'exposition d'identifiants.

D'après un bug tracker, l'APVI - avant son lancement officiel - a déjà permis de divulguer des problèmes de sécurité avec Huawei, Oppo, Vivo, ZTE, Meizu, Transsion, ainsi que le fabricant de puces MediaTek.