Obsah:
Spoločnosť Google zverejnila podrobnosti týkajúce sa bezpečnostnej opravy pre systém Android z 2. apríla, ktorá úplne zmierňuje problémy opísané v bulletine pred niekoľkými týždňami, ako aj zničené alebo iné kritické a mierne problémy. Toto je trochu odlišné od predchádzajúcich bulletinov, pričom osobitná pozornosť sa venuje zraniteľnosti v oblasti zvyšovania privilégií vo verziách 3.4, 3.10 a 3.14 Linuxového jadra používaného v systéme Android. Budeme o tom diskutovať ďalej na stránke. Medzitým tu uvádzame prehľad toho, čo potrebujete vedieť o tomto mesačníku.
Aktualizované obrázky firmvéru sú teraz k dispozícii pre aktuálne podporované zariadenia Nexus na webe Google Developer. Projekt Android Open Source má tieto zmeny teraz k dispozícii pre príslušné pobočky a všetko bude kompletné a synchronizované do 48 hodín. Na telefónoch a tabletoch Nexus, ktoré sú aktuálne podporované, prebiehajú bezdrôtové aktualizácie a bude sa riadiť štandardným postupom uvedenia spoločnosti Google do vášho zariadenia Nexus. Môže to trvať týždeň alebo dva. Všetci partneri - to znamená ľudia, ktorí zostavili váš telefón, bez ohľadu na značku - mali prístup k týmto opravám od 16. marca 2016 a zariadenia budú oznamovať a opravovať podľa svojich individuálnych plánov.
Najzávažnejším problémom, ktorý sa rieši, je chyba zabezpečenia, ktorá by pri spracovaní mediálnych súborov mohla umožniť vzdialené vykonanie kódu. Tieto súbory je možné do telefónu odosielať akýmkoľvek spôsobom - e-mailom, prehliadaním MMS alebo okamžitými správami. Ďalšie kritické problémy sú špecifické pre klienta DHCP, výkonový modul Qualcomm a ovládač RF. Tieto zneužitia by mohli umožniť spustenie kódu, ktorý natrvalo ohrozuje firmvér zariadenia, čo núti koncového používateľa, aby musel znovu prebudovať celý operačný systém - ak sú „vylepšenia platformy a služieb zakázané z dôvodu vývoja“. Ide o bezpečnostné opatrenia, ktoré umožňujú inštaláciu aplikácií z neznámych zdrojov a / alebo odblokovanie OEM.
Medzi ďalšie slabé miesta zabezpečenia patria aj metódy na obídenie Factory Reset Protection, problémy, ktoré by mohli byť zneužité na umožnenie útokov odmietnutia služby, a problémy, ktoré umožňujú vykonávanie kódu na zariadeniach s rootom. Odborníci v oblasti IT radi uvítajú aj problémy s poštou a programom ActiveSync, ktoré by mohli umožniť prístup k „citlivým“ informáciám opraveným v tejto aktualizácii.
Ako vždy, spoločnosť Google nám tiež pripomína, že sa nevyskytli žiadne správy o problémoch, ktorých sa týkajú tieto problémy, a že majú odporúčaný postup, ktorý zabráni zariadeniam, aby sa stali obeťami týchto a budúcich problémov:
- Vykorisťovanie mnohých problémov v systéme Android je sťažené vylepšeniami v novších verziách platformy Android. Ak je to možné, odporúčame všetkým používateľom aktualizovať na najnovšiu verziu systému Android.
- Tím zabezpečenia Android aktívne sleduje zneužívanie pomocou služieb Verify Apps a SafetyNet, ktoré používateľa upozornia na detekované potenciálne škodlivé aplikácie, ktoré sa majú nainštalovať. Nástroje na zakorenenie zariadenia sú v službe Google Play zakázané. V záujme ochrany používateľov, ktorí inštalujú aplikácie z krajín mimo Google Play, je služba Verify Apps v predvolenom nastavení povolená a upozorní používateľov na známe rootovacie aplikácie. Overte, či sa aplikácie pokúšajú identifikovať a zablokovať inštaláciu známych škodlivých aplikácií, ktoré zneužívajú zraniteľné miesta s eskaláciou oprávnení. Ak už bola takáto aplikácia nainštalovaná, služba Verify Apps o tom upovedomí používateľa a pokúsi sa odstrániť všetky takéto aplikácie.
- Aplikácie Google Hangouts a Messenger podľa potreby neprenášajú médiá automaticky na procesy, ako je mediálny server.
Pokiaľ ide o otázky uvedené v predchádzajúcom bulletine
Spoločnosť Google vydala 18. marca 2016 osobitný doplnkový bezpečnostný bulletin o problémoch v jadre systému Linux používaných na mnohých telefónoch a tabletoch s Androidom. Ukázalo sa, že využitie vo verziách 3.4, 3.10 a 3.14 Linuxového jadra, ktoré sa používa v systéme Android, umožňovalo trvalé ohrozenie zariadení - zakorenenie, inými slovami - a ovplyvnené telefóny a ďalšie zariadenia by si vyžadovali opakovanú operáciu operačného systému, aby zotaviť. Pretože aplikácia dokázala využiť túto výhodu, bola vydaná strednodobá správa. Google tiež uviedol, že zariadenia Nexus dostanú záplatu „v priebehu niekoľkých dní“. Táto oprava sa nikdy neuskutočnila a spoločnosť Google sa nezmieňuje o dôvode v najnovšom bezpečnostnom bulletine.
Tento problém - CVE-2015-1805 - bol úplne opravený v aktualizácii zabezpečenia 2. apríla 2016. Túto opravu dostali vetvy AOSP pre Android verzie 4.4.4, 5.0.2, 5.1.1, 6.0 a 6.0.1 a prebieha zavádzanie do zdroja.
Google tiež uvádza, že zariadenia, ktoré mohli dostať záplatu z 1. apríla 2016, neboli na túto konkrétnu záplatu opravené a aktuálne sú iba zariadenia s Androidom s úrovňou záplaty z 2. apríla 2016 alebo neskôr.
Aktualizácia odoslaná na okraj Verizon Galaxy S6 a Galaxy S6 je datovaná 2. apríla 2016 a tieto opravy obsahuje.
Aktualizácia odoslaná na okraj T-Mobile Galaxy S7 a Galaxy S7 je datovaná 2. apríla 2016 a tieto opravy obsahuje.
Zostavte AAE298 pre odomknuté telefóny BlackBerry Priv z 2. apríla 2016 a tieto opravy obsahuje. Bola vydaná koncom marca 2016.
Telefóny s verziou jadra 3, 18 nie sú týmto konkrétnym problémom dotknuté, stále však vyžadujú opravy pre ďalšie problémy, ktoré sa riešia v oprave 2. apríla 2016.
