Spoločnosť Google vydala poslednú mesačnú aktualizáciu zabezpečenia systému Android s úplnými podrobnosťami a novým softvérom. Nový dátum úrovne opravnej opravy je 1. jún 2016 a zmeny projektu Android Open Source Project by sa mali dokončiť a zverejniť do 48 hodín. Google tiež hovorí, že partneri mali prístup k upozorneniam v tomto mesačnom bulletine od 2. mája alebo skôr.
Google hovorí, že o všetkých zariadeniach aktívne zneužívaných týmito chybami zabezpečenia bolo hlásených nula správ.
Tento mesiac prináša opravy pre 21 slabých miest zabezpečenia, od závažných po stredne závažné. Podľa spoločnosti Google je najzávažnejším problémom „kritická bezpečnostná zraniteľnosť, ktorá by pri spracovaní multimediálnych súborov mohla umožniť vzdialené spustenie kódu na postihnutom zariadení pomocou viacerých metód, ako je e-mail, prehľadávanie webu a MMS.“ Zdá sa, že knižnica Stagefright je naďalej populárnym zameraním výskumných pracovníkov v oblasti bezpečnosti, ako aj bezpečnostného tímu spoločnosti Google, čo ešte viac zdôrazňuje rozdelenie mediálneho servera z vrstvy operačného systému a samostatnú aktualizáciu v systéme Android N.
Spoločnosť Google tiež zdôrazňuje (rovnako ako každý mesiac), že o všetkých zariadeniach aktívne využívaných týmito zraniteľnými miestami bolo hlásených nulové množstvo údajov a že ochrana na úrovni platformy a ochrana služieb, ako je napríklad SafetyNet, zvyšuje riziko, že bude skutočne ovplyvnená, pomerne nízko.
Stručné zhrnutie:
- Vykorisťovanie mnohých problémov v systéme Android je sťažené vylepšeniami v novších verziách platformy Android. Ak je to možné, odporúčame všetkým používateľom aktualizovať na najnovšiu verziu systému Android.
- Tím zabezpečenia Android aktívne sleduje zneužitie pomocou služieb Verify Apps a SafetyNet, ktoré sú určené na varovanie používateľov pred potenciálne škodlivými aplikáciami. Verifikácia aplikácií je v predvolenom nastavení povolená na zariadeniach s mobilnými službami Google a je obzvlášť dôležitá pre používateľov, ktorí inštalujú aplikácie mimo služby Google Play. Nástroje na zakorenenie zariadení sú v službe Google Play zakázané, ale služba Verify Apps upozorňuje používateľov, keď sa pokúšajú nainštalovať detekovanú rootovaciu aplikáciu - bez ohľadu na to, odkiaľ pochádzajú. Verify Apps sa okrem toho pokúša identifikovať a blokovať inštaláciu známych škodlivých aplikácií, ktoré zneužívajú zraniteľné miesta s eskaláciou práv. Ak už bola takáto aplikácia nainštalovaná, služba Verify Apps upozorní používateľa a pokúsi sa odstrániť zistenú aplikáciu.
- Aplikácie Google Hangouts a Messenger podľa potreby neprenášajú médiá automaticky na procesy, ako je mediálny server.
Všetky podrobnosti o všetkých problémoch nájdete na stránke bulletinu zabezpečenia.
O tom, kedy sa dá oprava očakávať pre akékoľvek iné zariadenie so systémom Android, nie je nič známe, ale súčasné zariadenia Nexus, telefóny Android One a Pixel C majú aktualizáciu, ktorá sa začína dnes vysielať bezdrôtovo, a mala by byť zverejnená na všetky zariadenia v pravý čas. Ak ste netrpezlivý typ (a ak áno, prečo nepoužívate Android N Beta?), Môžete vyfotiť obrázky továrne zverejnené na webe vývojára Google.
