Google a lansat ultima actualizare lunară a securității Android, cu detalii complete și software nou disponibil. Noua dată de nivel de corecție de securitate este 1 iunie 2016, iar modificările aduse proiectului Android Open Source ar trebui finalizate și publicate în 48 de ore. De asemenea, Google ne spune că partenerii au avut acces la avertizările din buletinul acestei luni începând cu 2 mai sau mai devreme.
Google spune că au existat zero rapoarte ale oricăror dispozitive exploatate în mod activ de aceste vulnerabilități.
Luna aceasta aduce corecții pentru 21 de vulnerabilități de securitate, care variază în severitate de la critice la moderate. Potrivit Google, cea mai severă problemă este „o vulnerabilitate critică de securitate care ar putea permite executarea de la distanță a codului pe un dispozitiv afectat prin mai multe metode precum e-mail, navigare web și MMS atunci când procesează fișiere media”. Se pare că biblioteca Stagefright continuă să fie un obiectiv popular atât pentru cercetătorii în domeniul securității, cât și pentru echipa de securitate Google, ceea ce face ca divizarea serverului media să rămână în stratul de operare și actualizarea separată în Android N să fie și mai importantă.
De asemenea, Google subliniază (așa cum se întâmplă în fiecare lună) că au existat zero rapoarte ale oricăror dispozitive exploatate în mod activ de aceste vulnerabilități, și că protecțiile de securitate la nivel de platformă și protecțiile de servicii precum SafetyNet fac ca riscul de a fi efectiv afectat.
Un rezumat rapid:
- Exploatarea pentru numeroase probleme pe Android este îngreunată prin îmbunătățirea versiunilor mai noi ale platformei Android. Încurajăm toți utilizatorii să se actualizeze la cea mai recentă versiune a Android, atunci când este posibil.
- Echipa de securitate Android monitorizează activ abuzurile cu Verify Apps și SafetyNet, care sunt concepute pentru a avertiza utilizatorii despre aplicații potențial dăunătoare. Verificați aplicațiile sunt activate în mod implicit pe dispozitivele cu serviciile Google Mobile și este deosebit de important pentru utilizatorii care instalează aplicații din afara Google Play. Instrumentele de înrădăcinare a dispozitivelor sunt interzise în Google Play, dar Verificați aplicațiile avertizează utilizatorii atunci când încearcă să instaleze o aplicație de rootare detectată - indiferent de unde provine. În plus, Verificați aplicațiile încearcă să identifice și să blocheze instalarea de aplicații dăunătoare cunoscute care exploatează o vulnerabilitate de escaladare a privilegiilor. Dacă o astfel de aplicație a fost deja instalată, Verificați aplicațiile vor notifica utilizatorul și vor încerca să elimine aplicația detectată.
- După cum este necesar, aplicațiile Google Hangouts și Messenger nu trec automat mass-media la procese precum mediaserver.
Detalii complete despre toate problemele pot fi găsite pe site-ul buletinului de securitate.
Nu există nicio vorbă despre momentul în care vă așteptați pe patch-ul pentru orice alt dispozitiv cu Android, însă dispozitivele Nexus actuale, telefoanele Android One și Pixel C au o actualizare care te împinge în aer, începând de astăzi, și ar trebui să fie lansată la toate dispozitivele la timp. Dacă sunteți de tipul nerăbdător (și dacă da, de ce nu executați Android N Beta?) Puteți bloca imaginile din fabrică postate pe site-ul dezvoltator Google.
