Robert Triggs / Android Authority
Tl; Dr
- El gobierno de los Estados Unidos ha dejado de financiar la base de datos de vulnerabilidades y exposiciones comunes (CVE), un sistema global estandarizado para identificar y rastrear vulnerabilidades de software en plataformas y dispositivos, incluido Android.
- Sin CVE, los boletines de seguridad Android mensuales de Google pueden enfrentar retrasos, confusión o transparencia reducida.
- No está claro quién, si alguien, intervendrá para mantener o reemplazar el sistema CVE.
El gobierno de los Estados Unidos ha obtenido fondos abruptos para la base de datos de vulnerabilidades y exposiciones comunes (CVE). Sin fondos de EE. UU., El programa de seguridad crítico que estandariza las vulnerabilidades de nombres y seguimiento será tan bueno como muerto a menos que encuentre otro benefactor. Ahora, puede sonar como un cambio detrás de escena, pero este desarrollo podría afectar la rapidez con que sus teléfonos Android obtienen actualizaciones de seguridad.
¿Qué es CVE?
El sistema CVE es esencialmente una base de datos gigante donde los defectos de seguridad conocidos en software y dispositivos, incluidos los teléfonos Android, se rastrean y comparten con empresas, investigadores de seguridad e incluso con el público. Cada problema de seguridad informado obtiene una ID de CVE única para que todos sepan exactamente con qué problema están tratando. Pero a partir del miércoles 16 de abril, Estados Unidos ya no pagará para mantener ese sistema en funcionamiento.
«El miércoles 16 de abril, los fondos para que Miter se desarrolle, opere y modernice el programa de vulnerabilidades y exposiciones comunes y los programas relacionados, como el programa de enumeración de debilidad común, caducará», dijo Yosry Barsoum, vicepresidente y director de Miter en el Centro para obtener la Homelética «, dijo. El registro.
¿Qué significa esto para las actualizaciones de seguridad de Android?
Google depende en gran medida de CVE en sus boletines de seguridad Android mensuales, las actualizaciones que solucionan errores y problemas de seguridad en los dispositivos Android. Sin el sistema CVE que funcione como de costumbre, podría haber retrasos en la identificación y solucionar estos problemas.
Las ID de CVE son cómo Google comunica actualizaciones sobre problemas de seguridad en cientos de dispositivos y socios de Android. Si el sistema se ralentiza o se vuelve confuso, podría ser más difícil para las empresas rastrear los problemas de seguridad, lo que lleva a posibles retrasos o incluso parches perdidos.
La mayor preocupación es que sin un sistema central, los fabricantes de teléfonos Android podrían necesitar desarrollar su propio sistema para rastrear las vulnerabilidades. También existe la preocupación de que sin un sistema estandarizado, las empresas podrían volverse menos transparentes sobre los problemas de seguridad que afectan sus dispositivos.
Como el desarrollo es tan nuevo, no estamos realmente seguros de su impacto. Alguien podría venir a salvar el programa CVE, o el gobierno de los Estados Unidos podría retrasar su decisión (caso en cuestión: aranceles en los teléfonos). También es posible que Google y otras compañías puedan construir su propio sistema interno para reemplazar a CVE o que otro grupo intervine para ejecutar una nueva base de datos.
Mientras que los registros históricos de CVE permanecerán Disponible en Githuby el final del programa CVE puede no afectar de inmediato a los usuarios de Android, los expertos advierten que las empresas podrían enfrentar un viaje lleno de baches mientras intentan navegar en nuevos sistemas.
