Google ha anunciado una ampliación Transparencia binaria para Android como una forma de salvaguardar el ecosistema de ataques a la cadena de suministro.
«Este nuevo libro público garantiza que las aplicaciones de Google en su dispositivo sean exactamente lo que pretendíamos crear y distribuir», dijeron los equipos de seguridad y productos de Google. dicho.
La iniciativa se basa en la base de Transparencia binaria de píxelesque Google introducido en octubre de 2021 para reforzar la integridad del software garantizando que los dispositivos Pixel solo ejecuten software de sistema operativo (SO) verificado manteniendo un registro criptográfico público que registra metadatos sobre imágenes oficiales de fábrica.
Los espejos de infraestructura de seguridad verificables Transparencia del certificadoun marco abierto que requiere que todos los certificados SSL/TLS emitidos se registren en registros públicos, de solo anexo y verificables criptográficamente para ayudar a detectar certificados emitidos incorrectamente o maliciosos.
La medida tiene como objetivo contrarrestar los riesgos que plantean los ataques binarios a la cadena de suministro, que han encontrado varias formas de entregar código malicioso envenenando los canales de actualización de software, manteniendo intactas sus firmas digitales. El último ejemplo es el compromiso de los instaladores de Windows del software DAEMON Tools para servir una puerta trasera liviana, que luego actúa como un conducto para un implante denominado QUIC RAT.
Además, los instaladores se distribuyen desde el sitio web legítimo de DAEMON Tools y están firmados con certificados digitales pertenecientes a los desarrolladores de DAEMON Tools.
«Se está volviendo insuficiente confiar únicamente en la firma del binario, ya que una firma no puede garantizar que este binario en particular fuera el que su autor pretendía hacer público», dijo Google. «Las firmas digitales son un certificado de origen, pero la transparencia binaria es un certificado de intención.»
Al expandir Binary Transparency en Android, la compañía dijo que la idea es brindar garantías de que el software de Google en el dispositivo de un usuario es exactamente lo que se pretendía construir y distribuir. Con ese fin, las aplicaciones de Android de producción de Google lanzadas después del 1 de mayo de 2026 tendrán una entrada criptográfica correspondiente que confirme su autenticidad.
La iniciativa incluye actualmente la producción aplicaciones de googleincluidos los servicios de Google Play y las aplicaciones independientes de Google, así como Módulos principales que forman parte del sistema operativo y se pueden actualizar dinámicamente fuera del ciclo de lanzamiento normal.
«Esto proporciona una ‘Fuente de la verdad’ transparente que permite a cualquiera verificar que el software de Google en su dispositivo Android es una versión de producción autorizada por Google y no ha sido modificado por un atacante», señaló Google. «Si el software no está en el libro mayor, Google no lo lanzó como software de producción. Cualquier intento de implementar una versión ‘única’ será detectable».
Como parte de este esfuerzo, el gigante tecnológico también está poner a disposición herramientas de verificación que los usuarios e investigadores pueden aprovechar para verificar el estado de transparencia de los tipos de software compatibles.
El desarrollo se produce en medio de una serie de ataques a la cadena de suministro que se han dirigido a desarrolladores y usuarios intermedios de software popular en los últimos meses. Los delincuentes comprometen cada vez más las cuentas de los desarrolladores y abusan de ese acceso para enviar malware, lo que les permite atacar a varios usuarios a la vez.
«Este es un pilar crítico para la privacidad y seguridad del usuario porque cambia la dinámica de poder fundamental de las actualizaciones de software», dijo Google. «Este nivel de transparencia sirve como otra capa de protección de la integridad de nuestro software, actuando como un poderoso elemento disuasivo contra las liberaciones binarias no autorizadas».
Fuente