Google on julkaisi yksityiskohdat 2. huhtikuuta päivitetyn Android-tietoturvakorjauksen ympärillä, lieventämällä täysin useita viikkoja sitten tiedotteessa kuvattuja ongelmia sekä surmattuja tai muita kriittisiä ja kohtalaisia ongelmia. Tämä on hieman erilainen kuin edelliset tiedotteet, kiinnittäen erityistä huomiota etuoikeuden eskalaation haavoittuvuuteen Androidissa käytetyn Linux-ytimen versioissa 3.4, 3.10 ja 3.14. Keskustelemme siitä tarkemmin sivulla. Sillä välin tässä on erittely siitä, mitä sinun tarvitsee tietää tämän kuukauden korjaustiedostosta.
Päivitetyt laiteohjelmakuvat ovat nyt saatavilla tällä hetkellä tuetuille Nexus-laitteille Google-kehittäjäsivusto. Androidin avoimen lähdekoodin projektilla nämä muutokset otetaan käyttöön asiaankuuluville haaroille nyt, ja kaikki valmistuu ja synkronoidaan 48 tunnin kuluessa. Langattomat päivitykset ovat käynnissä tällä hetkellä tuetuilla Nexus-puhelimilla ja -tablet-laitteilla, ja ne noudattavat tavanomaista Google-käyttöönottomenettelyä - Nexusiin pääseminen voi kestää viikon tai kaksi. Kaikilla kumppaneilla - eli puhelimesi rakentaneilla ihmisillä, tuotemerkistä riippumatta - on ollut pääsy nämä korjaukset 16. maaliskuuta 2016 alkaen, ja he ilmoittavat ja korjaavat laitteet omalle yksilölleen aikataulut.
Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Vakavin käsitelty ongelma on haavoittuvuus, joka voi sallia koodin etäsuorittamisen mediatiedostoja käsiteltäessä. Nämä tiedostot voidaan lähettää puhelimeesi millä tahansa tavalla - sähköpostilla, MMS-selaimella tai pikaviestillä. Muut korjatut kriittiset ongelmat koskevat erityisesti DHCP-asiakasta, Qualcommin suorituskykymoduulia ja RF-ohjainta. Nämä hyödyntämiset voivat sallia koodin, joka vaarantaa pysyvästi laitteen laiteohjelmiston, pakottaen loppukäyttäjän tarvitsemaan koko käyttöjärjestelmän - jos "-alustan - välähdyksen. ja palvelujen lieventäminen on poistettu käytöstä kehitysehdotuksissa. "Se on tietoturva-asia, joka sallii tuntemattomista lähteistä peräisin olevien sovellusten asentamisen ja / tai OEM-valmistajien sallimisen. lukituksen avaaminen.
Muut korjatut haavoittuvuudet sisältävät myös menetelmiä tehdasasetusten suojauksen ohittamiseksi palvelunestohyökkäykset ja ongelmat, jotka mahdollistavat koodin suorittamisen laitteilla, joissa on juuri. IT-ammattilaiset näkevät mielellään myös posti- ja ActiveSync-ongelmat, jotka voivat sallia pääsyn tässä päivityksessä korjattaviin "arkaluontoisiin" tietoihin.
Kuten aina, Google muistuttaa meitä myös siitä, että näistä ongelmista ei ole raportoitu käyttäjistä, ja heillä on suositeltu menettely, joka auttaa estämään laitteita joutumasta näiden ja tulevaisuuden uhreiksi kysymykset:
- Monien Android-ongelmien hyödyntämistä vaikeuttaa Android-alustan uudempien versioiden parannukset. Kehotamme kaikkia käyttäjiä päivittämään Androidin uusimpaan versioon mahdollisuuksien mukaan.
- Android Security -tiimi seuraa aktiivisesti väärinkäytöksiä Verify Appsin ja SafetyNetin avulla, jotka varoittavat käyttäjää havaituista mahdollisesti asennettavista haitallisista sovelluksista. Laitteiden juurtumistyökalut ovat kiellettyjä Google Playssa. Jos haluat suojata käyttäjiä, jotka asentavat sovelluksia Google Playn ulkopuolelta, Verify Apps on oletusarvoisesti käytössä ja varoittaa käyttäjiä tunnetuista juurtumisohjelmista. Verify Apps yrittää tunnistaa ja estää tunnettujen haittaohjelmien asennuksen, jotka hyödyntävät etuoikeuden eskalaatiohaavoittuvuutta. Jos tällainen sovellus on jo asennettu, Verify Apps ilmoittaa asiasta käyttäjälle ja yrittää poistaa tällaiset sovellukset.
- Tarvittaessa Google Hangouts- ja Messenger-sovellukset eivät välitä mediaa automaattisesti prosesseille, kuten mediapalvelimelle.
Mitä tulee edellisessä tiedotteessa mainittuihin asioihin
18. maaliskuuta 2016 Google julkaisi erillisen tietoturvatiedotteen monissa Android-puhelimissa ja -tablet-laitteissa käytetyn Linux-ytimen ongelmista. Osoitettiin, että Androidissa käytetyn Linux-ytimen versioiden 3.4, 3.10 ja 3.14 hyödyntäminen antoi laitteille mahdollisuuden pysyvästi vaarantuneet - toisin sanoen juurtuneet - ja puhelimet ja muut laitteet, joihin ongelma vaikuttaa, edellyttävät käyttöjärjestelmän uudelleensalaman palautumista. Koska sovellus pystyi osoittamaan tämän hyödyntämisen, julkaistiin kuukauden puolivälissä oleva tiedote. Google mainitsi myös, että Nexus-laitteet saisivat korjaustiedoston "muutamassa päivässä". Tämä korjaustiedosto ei koskaan toteutunut, eikä Google mainitse viimeisimmässä tietoturvatiedotteessa miksi.
Ongelma - CVE-2015-1805 - on korjattu kokonaan 2. huhtikuuta 2016 päivitetyssä tietoturvapäivityksessä. AOSP-haarat Android-versioille 4.4.4, 5.0.2, 5.1.1, 6.0 ja 6.0.1 ovat saaneet tämän korjaustiedoston, ja lähteen käyttöönotto on käynnissä.
Google mainitsee myös, että laitteita, jotka ovat voineet saada päivityksen 1. huhtikuuta 2016, ei ole korjattu tätä erityistä hyväksikäyttöä vastaan, ja vain Android-laitteet, joiden korjaustiedosto on päivätty 2. huhtikuuta 2016 tai uudemmalle, ovat nykyinen.
Verizon Galaxy S6- ja Galaxy S6 -reunoille lähetetty päivitys on päivätty 2. huhtikuuta 2016 ja tekee sisältää nämä korjaukset.
Päivitetty osoitteeseen T-Mobile Galaxy S7 ja Galaxy S7 edge on päivätty 2. huhtikuuta 2016 ja tekee sisältää nämä korjaukset.
Rakenne AAE298 lukitsemattomille BlackBerry Priv -puhelimille on päivätty 2. huhtikuuta 2016 ja tekee sisältää nämä korjaukset. Se julkaistiin maaliskuun lopulla 2016.
Tämä ongelma ei vaikuta puhelimiin, joissa on 3.18-ytinversio, mutta ne edellyttävät silti korjauksia muille 2. huhtikuuta 2016 päivitetyssä korjaustiedostossa käsitellyille ongelmille.
Oletko kuunnellut tämän viikon Android Central Podcastia?
Joka viikko Android Central Podcast tuo sinulle viimeisimmät tekniset uutiset, analyysit ja pikaviestit tuttujen isäntien ja erikoisvieraiden kanssa.
- Tilaa Pocket Casts: Audio
- Tilaa Spotify: Audio
- Tilaa iTunesissa: Audio
Saatamme ansaita palkkion ostoksistamme linkkien avulla. Lisätietoja.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta, joiden hinta on alle 200 dollaria.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelinten kokoonpanoon. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännölliset tietoturvapäivitykset jopa kolmen vuoden ajan.
Suojaa kotisi näillä SmartThings-ovikelloilla ja lukoilla.
Yksi SmartThingsin parhaista asioista on, että voit käyttää järjestelmässäsi joukkoa muita kolmannen osapuolen laitteita, mukaan lukien ovikellot ja lukot. Koska niillä kaikilla on olennaisilta osin sama SmartThings-tuki, olemme keskittyneet siihen, millä laitteilla on parhaat tekniset tiedot ja perusteet niiden lisäämiseksi SmartThings-arsenaaliin.