Google ha rilasciato l'ultimo aggiornamento mensile della sicurezza Android, con tutti i dettagli e il nuovo software disponibile. La nuova data del livello di patch di sicurezza è il 1 giugno 2016 e le modifiche al progetto Android Open Source dovrebbero essere completate e pubblicate entro 48 ore. Google ci dice anche che i partner hanno avuto accesso agli avvisi nel bollettino di questo mese dal 2 maggio o prima.
Google afferma che non ci sono state segnalazioni di dispositivi attivamente sfruttati da queste vulnerabilità.
Questo mese porta patch per 21 vulnerabilità di sicurezza, con gravità da critica a moderata. Secondo Google, il problema più grave è "una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato attraverso più metodi come e-mail, navigazione web e MMS durante l'elaborazione di file multimediali." Sembra che il file Libreria da palcoscenico continua a essere un obiettivo popolare per i ricercatori di sicurezza e per il team di sicurezza di Google, il che rende
suddividere il media server dal livello del sistema operativo e l'aggiornamento separato in Android N è ancora più importante.Google sottolinea inoltre (come ogni mese) che non ci sono state segnalazioni di dispositivi attivamente sfruttati da questi vulnerabilità e che le protezioni di sicurezza a livello di piattaforma e le protezioni dei servizi come SafetyNet rischiano di esserlo davvero colpito abbastanza in basso.
Un breve riassunto:
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
- Il team di sicurezza di Android monitora attivamente gli abusi con Verify Apps e SafetyNet, progettati per avvisare gli utenti di applicazioni potenzialmente dannose. Verifica app è abilitato per impostazione predefinita sui dispositivi con Google Mobile Services ed è particolarmente importante per gli utenti che installano applicazioni dall'esterno di Google Play. Gli strumenti di rooting del dispositivo sono vietati all'interno di Google Play, ma Verifica app avvisa gli utenti quando tentano di installare un'applicazione di rooting rilevata, indipendentemente da dove provenga. Inoltre, Verify Apps tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalazione dei privilegi. Se tale applicazione è già stata installata, Verify Apps avviserà l'utente e tenterà di rimuovere l'applicazione rilevata.
- A seconda dei casi, le applicazioni Google Hangouts e Messenger non passano automaticamente i contenuti multimediali a processi come il mediaserver.
I dettagli completi di tutti gli indirizzi dei problemi sono disponibili all'indirizzo il sito dei bollettini sulla sicurezza.
Non si sa quando aspettarsi la patch per qualsiasi altro dispositivo Android, ma attuale Nesso dispositivi, Android Uno i telefoni e Pixel C hanno un aggiornamento che viene distribuito via etere a partire da oggi e dovrebbe essere implementato su tutti i dispositivi a tempo debito. Se sei un tipo impaziente (e in tal caso, perché non esegui Android N Beta?) puoi eseguire il flashing delle immagini di fabbrica pubblicate su Sito per sviluppatori di Google.