O Google anunciou a expansão do Binary Transparency no Android como uma forma de proteger o ecossistema contra ataques à supply chain.
“Esse novo registro público garante que os apps do Google no dispositivo sejam exatamente o que a empresa pretendia desenvolver e distribuir”, afirmaram as equipes de produto e segurança da companhia.
A iniciativa se baseia no Pixel Binary Transparency, apresentado em outubro de 2021 para reforçar a integridade do software e assegurar que os dispositivos Pixel executem apenas software do sistema operacional verificado.
Para isso, a empresa mantém um log público e criptográfico que registra metadados sobre as imagens oficiais de fábrica.
Essa infraestrutura de segurança verificável segue o modelo do Certificate Transparency, um framework aberto que exige que todos os certificados SSL/TLS emitidos sejam registrados em logs públicos, de forma apenas aditiva e verificável criptograficamente, ajudando a detectar certificados emitidos por engano ou de forma maliciosa.
A medida busca conter os riscos de ataques à supply chain de binários, que vêm encontrando diferentes formas de entregar código malicioso ao adulterar canais de atualização de software, mesmo quando as signatures digitais permanecem intactas.
O exemplo mais recente foi o comprometimento dos instaladores para Windows do software DAEMON Tools, usados para distribuir um backdoor leve, que por sua vez atua como porta de entrada para um implant batizado de QUIC RAT.
Além disso, os instaladores eram distribuídos pelo site legítimo do DAEMON Tools e assinados com certificados digitais pertencentes aos desenvolvedores da ferramenta.
“Está se tornando insuficiente confiar apenas na assinatura do binário, porque uma assinatura não garante que aquele binário específico era o que o autor pretendia liberar ao público”, disse o Google.
“Assinaturas digitais são um certificado de origem, mas a transparência de binários é um certificado de intenção.”
Com a expansão do Binary Transparency no Android, a empresa afirma que quer oferecer garantias de que o software do Google no dispositivo do usuário é exatamente o que deveria ter sido desenvolvido e distribuído.
Para isso, os aplicativos de produção do Android lançados pelo Google após 1º de maio de 2026 terão uma entrada criptográfica correspondente confirmando sua autenticidade.
A iniciativa inclui, por enquanto, aplicativos de produção do Google, entre eles o Google Play Services e os aplicativos independentes da empresa, além dos módulos Mainline que fazem parte do sistema operacional e podem ser atualizados dinamicamente fora do ciclo normal de lançamentos.
“Isso fornece uma ‘fonte da verdade’ transparente, que permite a qualquer pessoa verificar se o software do Google em seu dispositivo Android é uma versão de produção autorizada pelo Google e não foi modificada por um atacante”, observou a empresa.
“Se o software não estiver no registro, o Google não o lançou como software de produção.
Qualquer tentativa de distribuir uma versão única será detectável.”
Como parte desse esforço, a gigante de tecnologia também está disponibilizando ferramentas de verificação que usuários e pesquisadores podem usar para conferir o estado de transparência dos tipos de software compatíveis.
O anúncio ocorre em meio a uma sequência de ataques à supply chain que, nos últimos meses, têm mirado desenvolvedores e usuários finais de softwares populares.
Os atacantes estão comprometendo cada vez mais contas de desenvolvedores e abusando desse acesso para distribuir malware, permitindo atingir vários usuários de uma só vez.
“Este é um pilar crítico para a privacidade e a segurança do usuário porque muda a dinâmica fundamental das atualizações de software”, afirmou o Google.
“Esse nível de transparência funciona como mais uma camada de proteção para a integridade do nosso software e age como um forte desestímulo a liberações não autorizadas de binários.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...