גוגל פרסמה את עדכון האבטחה החודשי האחרון של אנדרואיד, עם פרטים מלאים ותוכנה חדשה זמינה. התאריך החדש של רמת תיקון האבטחה הוא 1 ביוני 2016, ושינויים בפרויקט הקוד הפתוח של Android אמורים להסתיים ולפרסם תוך 48 שעות. גוגל גם מספרת לנו שלשותפים הייתה גישה לאזהרות בעלון החודש מאז 2 במאי או קודם לכן.
גוגל טוענת כי היו אפס דיווחים על כל מכשיר שנוצל באופן פעיל על ידי הפגיעויות הללו.
החודש מביא תיקונים ל-21 פרצות אבטחה, בדרגות חומרה קריטיות עד בינוניות. לפי גוגל, הבעיה החמורה ביותר היא "פגיעות אבטחה קריטית שעלולה לאפשר ביצוע קוד מרחוק על המכשיר שהושפע באמצעות שיטות מרובות כגון דוא"ל, גלישה באינטרנט ו-MMS בעת עיבוד קובצי מדיה." נראה כי ספריית Stagefright ממשיך להיות מוקד פופולרי עבור חוקרי אבטחה כמו גם צוות האבטחה של גוגל, שעושה פיצול שרת המדיה מתוך שכבת מערכת ההפעלה ועדכון בנפרד באנדרואיד N חשוב עוד יותר.
גוגל גם מדגישה (כפי שהיא עושה בכל חודש) כי היו אפס דיווחים על מכשירים שניצלו באופן פעיל על ידי אלה נקודות תורפה, וכי הגנות אבטחה ברמת הפלטפורמה והגנות שירות כמו SafetyNet הופכות את הסיכון להיות בפועל מושפע נמוך למדי.
סיכום קצר:
- ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות אבטחת אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet, שנועדו להזהיר משתמשים מפני יישומים שעלולים להזיק. Verify Apps מופעל כברירת מחדל במכשירים עם שירותי Google Mobile, והוא חשוב במיוחד למשתמשים המתקינים אפליקציות מחוץ ל-Google Play. כלי השתרשות מכשירים אסורים ב-Google Play, אך Verify Apps מזהיר משתמשים כאשר הם מנסים להתקין אפליקציית השתרשות שזוהתה - לא משנה מאיפה היא מגיעה. בנוסף, Verify Apps מנסה לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות של הסלמה של הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר את היישום שזוהה.
- בהתאם, יישומי Google Hangouts ו-Messenger אינם מעבירים מדיה אוטומטית לתהליכים כגון שרת מדיה.
ניתן למצוא פרטים מלאים של כל הבעיות בכתובת אתר עלוני האבטחה.
אין מילה על מתי לצפות לתיקון עבור כל מכשיר אחר המופעל על ידי אנדרואיד, אלא עדכני קֶשֶׁר מכשירים, Android One לטלפונים ול-Pixel C יש עדכון שדוחף החוצה דרך האוויר החל מהיום, והוא אמור להיות מופץ לכל המכשירים בזמן. אם אתה טיפוס חסר סבלנות (ואם כן, למה אתה לא מפעיל את ה-Android N Beta?) אתה יכול להבהב את תמונות היצרן שפורסמו בכתובת אתר המפתחים של גוגל.