Google je izdal zadnjo mesečno posodobitev varnosti za Android, na voljo pa so vse podrobnosti in nova programska oprema. Novi datum ravni varnostnih popravkov je 1. junij 2016, spremembe projekta Open Source Android pa bi morale biti končane in objavljene v 48 urah. Google nam tudi pravi, da so imeli partnerji dostop do opozoril v mesečnem biltenu od 2. maja ali prej.
Google pravi, da ni bilo nobenih poročil o vseh napravah, ki jih te ranljivosti aktivno izkoriščajo.
Ta mesec prinaša popravke za 21 varnostnih ranljivosti, od resnosti do kritičnih do zmernih. Po Googlovem mnenju je najtežja težava "kritična varnostna ranljivost, ki bi lahko omogočila oddaljeno izvajanje kode na prizadeti napravi z več metodami, kot so e-pošta, brskanje po spletu in večpredstavnostna sporočila pri obdelavi medijskih datotek." Kaže, da je knjižnica Stagefright še naprej priljubljena usmeritev raziskovalcev na področju varnosti, pa tudi Googlove varnostne ekipe, zaradi česar je ločevanje medijskega strežnika iz sloja OS in posodabljanje ločeno v sistemu Android N še bolj pomembno.
Google tudi poudarja (tako kot vsak mesec), da ni bilo nobenih poročil o napravah, ki jih te ranljivosti aktivno izkoriščajo, in da varnostna zaščita na ravni platforme in zaščita storitev, kot je SafetyNet, tvegata, da bosta dejansko ogrožena.
Hiter povzetek:
- Izkoriščanje številnih vprašanj v sistemu Android otežuje izboljšanje novejših različic platforme Android. Vse uporabnike spodbujamo, da posodabljajo najnovejšo različico Androida, kjer je to mogoče.
- Skupina Android Security aktivno spremlja zlorabe s Verify Apps in SafetyNet, ki so namenjeni opozarjanju uporabnikov o potencialno škodljivih aplikacijah. Preveri, da so aplikacije privzeto omogočene v napravah z Googlovimi storitvami za mobilne naprave in so še posebej pomembne za uporabnike, ki namestijo aplikacije zunaj Google Play. Orodja za ukoreninjenje naprav so prepovedana v Googlu Play, vendar Verify Apps opozori uporabnike, ko poskušajo namestiti zaznano aplikacijo za ukoreninjenje - ne glede na to, od kod prihaja. Poleg tega Verify Apps poskuša prepoznati in blokirati namestitev znanih zlonamernih aplikacij, ki izkoriščajo ranljivost stopnjevanja privilegijev. Če je takšna aplikacija že nameščena, bo Verify Apps obvestil uporabnika in poskušal odstraniti odkrito aplikacijo.
- Po potrebi aplikacije Google Hangouts in Messenger ne prenesejo samodejno medijev v procese, kot je medijski strežnik.
Vse podrobnosti o vseh težavah najdete na spletnem mestu z varnostnimi bilteni.
Nobene besede ni, kdaj pričakovati obliž za katero koli drugo napravo z operacijskim sistemom Android, toda trenutne naprave Nexus, telefoni Android One in Pixel C imajo posodobitev, ki se bo danes začela izvajati v zraku, in jo je treba predstaviti vse naprave pravočasno. Če ste nestrpni (in če je odgovor pritrdilen, zakaj ne uporabljate Android N Beta?), Lahko utripate tovarniške slike, objavljene na Googlovem spletnem mestu za razvijalce.
