Googles månedlige notater om sikkerhedspatch har et nyt navn og et nyt formål - de hedder nu Android-sikkerhedsbulletin, og omfanget er blevet udvidet til at omfatte omtale af sårbarheder, der påvirker telefoner og tablets, der ikke er Nexus-mærket fra Google.
Opdateringerne til Nexus-linjen - både luften eller som et nyt fabriksbillede - har ikke ændret sig. OTA-opdateringer er begyndt med deres forskudte udrulning, og nye fabriksbilleder er blevet sendt på Googles udviklerwebsted til manuel download og installation. Den nye dato for sikkerhedsrettelsesniveau er den 1. maj 2016, og ændringer til Android Open Source-projektet skal afsluttes og offentliggøres inden for 48 timer. Google fortæller os også, at partnere har haft adgang til advarslerne i denne måneds bulletin siden 4. april 2016 eller tidligere.
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Ifølge Google, "Det mest alvorlige af disse problemer er en kritisk sikkerhedssårbarhed, der kan muliggøre fjernkode udførelse på en berørt enhed via flere metoder såsom e-mail, browsing og MMS ved behandling af medier filer. "
I alt er 25 sikkerhedssårbarheder blevet løst, alt fra kritisk til lav med hensyn til deres vurderede sværhedsgrad. 24 af disse rettelser påvirker Nexus eller Android One-enheder. Google understreger også, at der har været nul rapporter om enheder, der aktivt udnyttes af disse sårbarheder, og det deres sikkerhedsbeskyttelse på platformniveau og servicebeskyttelse som SafetyNet udgør risikoen for faktisk at blive påvirket lav. Et hurtigt resume:
- Udnyttelse af mange problemer på Android gøres vanskeligere ved forbedringer i nyere versioner af Android-platformen. Vi opfordrer alle brugere til at opdatere til den nyeste version af Android, hvor det er muligt.
- Android Security-teamet overvåger aktivt for misbrug med Verify Apps og SafetyNet, som er designet til at advare brugere om potentielt skadelige applikationer. Bekræft apps er som standard aktiveret på enheder med Google Mobile Services og er især vigtigt for brugere, der installerer applikationer uden for Google Play. Device rooting-værktøjer er forbudt i Google Play, men Verify Apps advarer brugere, når de forsøger at installere en registreret rooting-applikation - uanset hvor den kommer fra. Derudover forsøger Verify Apps at identificere og blokere installationen af kendte ondsindede applikationer, der udnytter en sårbarhed for eskalering af privilegier. Hvis en sådan applikation allerede er installeret, underretter Verify Apps brugeren og forsøger at fjerne den registrerede applikation.
- Google Hangouts- og Messenger-applikationer videregiver ikke efter behov medier automatisk til processer som f.eks. Mediaserver.
Fuldstændige oplysninger om alle problemstillinger kan findes på webstedet med sikkerhedsbulletin.
Den mest interessante del af denne måneds varsel er den måde, programmet er omdøbt til at droppe "Nexus" -tagget, og hvad det kan betyde. Til at begynde med identificerer hver sårbarhed nu, hvilke af Googles egne enheder der er berørt, og nøjagtigt hvilke enheder og platformkildeversioner, der opdateres.
Nogle, som sårbarheder i NVIDIA-videodriveren, adresserer kun en kernepatch til alle kerneversioner af Nexus 9. Andre, som den tidligere nævnte Mediaserver-sårbarhed, påvirker alt, hvad der i øjeblikket understøttes direkte fra Google: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 og alle Android One-modeller samt alle versioner af AOSP fra 4.4.4. Dette er Googles måde at fortælle alle, at denne programrettelse omfatter sikkerhedsopdateringer for alle aktuelle enheder og kode, selvom individuel udnyttelse ikke påvirker bestemte telefoner og tabletter.
Også værd at bemærke - Nexus Player og Pixel C er ikke nævnt ved navn i dokumentet. Dette betyder naturligvis ikke, at de ikke opdateres, men vi er ikke sikre på, om der er noget har ændret med disse to modeller. Jeg har nået ud til Google med henblik på afklaring og opdaterer, når vi ved mere.
Det er ikke den eneste ændring af programmet. Google har også specifikt navngivet en sårbarhed, der ikke påvirker nogen af deres hardware - en sårbarhed i Qualcomm Tethering-controlleren. Mens mange af de andre sårbarheder påvirker Android som helhed, er denne bestemte fejl ikke en del af Android, som hver enhed bruger (i modsætning til f.eks. Mediaserver). Ved at gøre dette fortæller Google brugerne, at der også er patches uden for den samlede Android-kilde, som specifikke leverandører skal integrere.
Patchkilden blev gjort tilgængelig direkte for leverandører og kildetræet. Uden at sige så meget har Google sat folk, der fremstiller Android-telefoner, i fokus. Alt, hvad Google gør, betyder noget - du styrer ikke en så stor båd uden at lave nogle bølger. At se om der er noget svar fra partnere vil være interessant (og fortællende), men vi forventer ikke rigtig noget. Jeg vil prøve at få tid til at sidde ned med de rigtige personer på Google I / O 2016 og se, hvad disse ændringer betyder, hvis noget.
I mellemtiden skal du begynde at tjekke for disse OTA-opdateringer eller komme til at blinke, hvis du har en nuværende Nexus.
Har du lyttet til denne uges Android Central Podcast?
Hver uge bringer Android Central Podcast dig de seneste tekniske nyheder, analyser og hot take med kendte co-værter og specielle gæster.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Dette er de bedste trådløse øretelefoner, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Beskyt dit hjem med disse SmartThings dørklokker og låse.
En af de bedste ting ved SmartThings er, at du kan bruge en række andre tredjepartsenheder på dit system, dørklokker og låse inkluderet. Da de i det væsentlige alle deler den samme SmartThings-support, har vi fokuseret på, hvilke enheder der har de bedste specifikationer og tricks til at retfærdiggøre at tilføje dem til dit SmartThings-arsenal.