Google vydal nejnovější měsíční bezpečnostní aktualizaci Androidu s úplnými podrobnostmi a novým dostupným softwarem. Datum nové úrovně opravy zabezpečení je 1. června 2016 a změny v projektu Android Open Source Project by měly být dokončeny a zveřejněny do 48 hodin. Google nám také sděluje, že partneři mají přístup k varováním v bulletinu tohoto měsíce od 2. května nebo dříve.
Google tvrdí, že nebyly hlášeny žádné zařízení aktivně zneužívané těmito zranitelnostmi.
Tento měsíc přináší záplaty pro 21 bezpečnostních zranitelností v rozsahu závažnosti od kritických po střední. Podle společnosti Google je nejzávažnějším problémem „kritická bezpečnostní chyba, která by mohla umožnit vzdálené spuštění kódu na postiženého zařízení prostřednictvím různých metod, jako je e-mail, procházení webu a MMS při zpracování mediálních souborů." Zdá se, že Knihovna Stagefright je i nadále oblíbeným cílem výzkumníků v oblasti bezpečnosti i bezpečnostního týmu společnosti Google rozdělení mediálního serveru z vrstvy OS a aktualizace samostatně v Androidu N ještě důležitější.
Google také zdůrazňuje (stejně jako každý měsíc), že nebyly hlášeny žádné zařízení aktivně využívané těmito zařízeními zranitelnosti a že bezpečnostní ochrany na úrovni platformy a ochrany služeb, jako je SafetyNet, představují riziko, že ovlivněny poměrně nízko.
Rychlé shrnutí:
- Využití mnoha problémů na Androidu je ztíženo vylepšeními v novějších verzích platformy Android. Doporučujeme všem uživatelům, aby aktualizovali na nejnovější verzi Androidu, kde je to možné.
- Tým zabezpečení systému Android aktivně monitoruje zneužití pomocí aplikací Verify Apps a SafetyNet, které jsou navrženy tak, aby varovaly uživatele před potenciálně škodlivými aplikacemi. Ověření aplikací je ve výchozím nastavení povoleno na zařízeních s mobilními službami Google a je důležité zejména pro uživatele, kteří instalují aplikace mimo Google Play. Nástroje pro rootování zařízení jsou na Google Play zakázány, ale Verify Apps uživatele varuje, když se pokusí nainstalovat zjištěnou rootovací aplikaci – bez ohledu na to, odkud pochází. Kromě toho se Verify Apps pokouší identifikovat a blokovat instalaci známých škodlivých aplikací, které zneužívají chybu zabezpečení týkající se eskalace oprávnění. Pokud již byla taková aplikace nainstalována, Verify Apps upozorní uživatele a pokusí se detekovanou aplikaci odstranit.
- Aplikace Google Hangouts a Messenger podle potřeby automaticky nepředávají média procesům, jako je mediaserver.
Úplné podrobnosti o všech řešených problémech naleznete na webu bulletinu zabezpečení.
Není tam žádné slovo o tom, kdy očekávat opravu pro jakékoli jiné zařízení se systémem Android, ale aktuální Nexus zařízení, Android One telefony a Pixel C mají počínaje dneškem bezdrátově k dispozici aktualizaci, která by měla být včas zavedena na všechna zařízení. Pokud jste netrpělivý typ (a pokud ano, proč nepoužíváte Android N Beta?), můžete flashovat tovární obrázky zveřejněné na Vývojářský web Google.