2026-05-06 00:00
← VoltarO Google anunciou a expansão da Transparência Binária para Android como uma forma de proteger o ecossistema contra ataques à cadeia de suprimentos. “Este novo livro-razão público garante que os aplicativos do Google em seu dispositivo sejam exatamente o que pretendemos construir e distribuir”, disseram as equipes de produto e segurança do Google. A iniciativa se baseia na Transparência Binária Pixel, que o Google introduziu em outubro de 2021 para reforçar a integridade do software, garantindo que os dispositivos Pixel executem apenas software de sistema operacional (SO) verificado, mantendo um registro criptográfico público que registra metadados sobre imagens oficiais de fábrica. A infraestrutura de segurança verificável espelha oCertificate Transparency, uma estrutura aberta que exige que todos os certificados SSL/TLS emitidos sejam registrados em logs públicos, somente anexados e verificáveis criptograficamente para ajudar a detectar certificados mal emitidos ou maliciosos. A medida visa combater os riscos representados por ataques binários à cadeia de abastecimento, que muitas vezes entregam códigos maliciosos ao envenenar os canais de atualização de software, ao mesmo tempo que mantêm as assinaturas digitais intactas. O exemplo mais recente é o comprometimento dos instaladores do Windows do software DAEMON Tools para servir um backdoor leve, que então atua como um canal para um implante chamado QUIC RAT. Além do mais, os instaladores são distribuídos a partir do site...
O Google anunciou a expansão da Transparência Binária para Android como uma forma de proteger o ecossistema contra ataques à cadeia de suprimentos. “Este novo livro-razão público garante que os aplicativos do Google em seu dispositivo sejam exatamente o que pretendemos construir e distribuir”, disseram as equipes de produto e segurança do Google. A iniciativa se baseia na Transparência Binária Pixel, que o Google introduziu em outubro de 2021 para reforçar a integridade do software, garantindo que os dispositivos Pixel executem apenas software de sistema operacional (SO) verificado, mantendo um registro criptográfico público que registra metadados sobre imagens oficiais de fábrica. A infraestrutura de segurança verificável espelha oCertificate Transparency, uma estrutura aberta que exige que todos os certificados SSL/TLS emitidos sejam registrados em logs públicos, somente anexados e verificáveis criptograficamente para ajudar a detectar certificados mal emitidos ou maliciosos. A medida visa combater os riscos representados por ataques binários à cadeia de abastecimento, que muitas vezes entregam códigos maliciosos ao envenenar os canais de atualização de software, ao mesmo tempo que mantêm as assinaturas digitais intactas. O exemplo mais recente é o comprometimento dos instaladores do Windows do software DAEMON Tools para servir um backdoor leve, que então atua como um canal para um implante chamado QUIC RAT. Além do mais, os instaladores são distribuídos a partir do site legítimo do DAEMON Tools e são assinados com certificados digitais pertencentes aos desenvolvedores do DAEMON Tools. “Está se tornando insuficiente confiar apenas na assinatura do binário, já que uma assinatura não pode garantir que este binário em particular era o pretendido para ser divulgado ao público por seu autor”, disse o Google.
“Assinaturas digitais são um certificado de origem, mas a transparência binária é um certificado de intenção.” Ao expandir a transparência binária no Android, a empresa disse que a ideia é fornecer garantias de que o software do Google no dispositivo do usuário é exatamente o que foi planejado para ser construído e distribuído. Para esse fim, os aplicativos Android de produção do Google lançados após 1º de maio de 2026 terão uma entrada criptográfica correspondente confirmando sua autenticidade. A iniciativa atualmente inclui aplicativos de produção do Google, incluindo Google Play Services e aplicativos autônomos do Google, bem como módulos Mainline que fazem parte do sistema operacional e podem ser atualizados dinamicamente fora do ciclo normal de lançamento. “Isso fornece uma ‘Fonte da Verdade’ transparente que permite a qualquer pessoa verificar se o software do Google em seu dispositivo Android é uma versão de produção autorizada pelo Google e não foi modificado por um invasor”, observou o Google. "Se o software não estiver no livro-razão, o Google não o lançou como software de produção. Qualquer tentativa de implantar uma versão 'única' será detectável." Como parte desse esforço, a gigante da tecnologia também está disponibilizando ferramentas de verificação que usuários e pesquisadores podem aproveitar para verificar o estado de transparência dos tipos de software suportados. O desenvolvimento ocorre em meio a uma série de ataques à cadeia de suprimentos que atingiram desenvolvedores e usuários de software popular nos últimos meses. Os malfeitores estão comprometendo cada vez mais as contas dos desenvolvedores e abusando desse acesso para enviar malware, permitindo-lhes violar vários usuários ao mesmo tempo.
“Este é um pilar crítico para a privacidade e segurança do usuário porque muda a dinâmica de poder fundamental das atualizações de software”, disse o Google. "Este nível de transparência serve como outra camada de proteção à integridade do nosso software, agindo como um poderoso impedimento contra lançamentos binários não autorizados." Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.