Google har ga ut detaljene rundt sikkerhetsoppdateringen for 2. april for Android, som reduserer problemene som er beskrevet i en bulletin for flere uker siden, samt en rekke eller andre kritiske og moderate problemer. Denne er litt forskjellig fra tidligere bulletiner, med spesiell oppmerksomhet rettet mot et sikkerhetsproblem med opptrapping av privilegier i versjoner 3.4, 3.10 og 3.14 av Linux-kjernen som brukes i Android. Vi diskuterer det lenger nede på siden. I mellomtiden er det en oversikt over hva du trenger å vite om denne månedens oppdatering.
Oppdaterte firmwarebilder er nå tilgjengelige for Nexus-enheter som støttes for øyeblikket Googles utviklernettsted. Android Open Source Project har disse endringene rullet ut til de aktuelle grenene nå, og alt vil være komplett og synkronisert innen 48 timer. Over the air oppdateringer pågår for øyeblikket støttede Nexus-telefoner og nettbrett, og vil følge den vanlige Googles lanseringsprosedyren - det kan ta en uke eller to å komme til Nexus. Alle partnere - det vil si folkene som bygde telefonen din, uansett merke - har hatt tilgang til disse løsningene fra 16. mars 2016, og de vil kunngjøre og lappe enheter på egenhånd tidsplaner.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Det mest alvorlige problemet som er løst, er et sikkerhetsproblem som kan tillate ekstern kjøring av kode når du behandler mediefiler. Disse filene kan sendes til telefonen din på alle måter - e-post, surfing på MMS eller direktemeldinger. Andre kritiske problemer som er oppdatert er spesifikke for DHCP-klienten, Qualcomms Performance Module og RF-driver. Disse utnyttelsene kan tillate at det kjøres kode som permanent kompromitterer enhetens fastvare, og tvinger sluttbrukeren til å måtte blinke hele operativsystemet - hvis "plattform og servicebegrensninger er deaktivert for utvikling foreslår. " låse opp.
Andre oppdaterte sårbarheter inkluderer også metoder for å omgå Factory Reset Protection, problemer som kan utnyttes for å tillate denial of service-angrep, og problemer som tillater kjøring av kode på enheter med rot. IT-fagfolk vil gjerne se også e-post- og ActiveSync-problemer som kan gi tilgang til "sensitiv" informasjon som er oppdatert i denne oppdateringen.
Som alltid minner Google oss om at det ikke har vært rapporter om brukere som er berørt av disse problemene, og de har en anbefalt prosedyre for å forhindre at enheter blir offer for disse og fremtiden problemer:
- Utnyttelse av mange problemer på Android vanskeliggjøres av forbedringer i nyere versjoner av Android-plattformen. Vi oppfordrer alle brukere til å oppdatere til den nyeste versjonen av Android der det er mulig.
- Android Security-teamet overvåker aktivt for misbruk med Verify Apps og SafetyNet, som vil advare brukeren om oppdagede potensielt skadelige applikasjoner som skal installeres. Verktøy for rooting av enheter er forbudt i Google Play. For å beskytte brukere som installerer applikasjoner utenfor Google Play, er Verify Apps aktivert som standard og vil advare brukere om kjente rotapplikasjoner. Verify Apps prøver å identifisere og blokkere installasjon av kjente ondsinnede applikasjoner som utnytter et sårbarhet for opptrapping av privilegier. Hvis et slikt program allerede er installert, vil Verify Apps varsle brukeren og prøve å fjerne slike applikasjoner.
- Google Hangouts- og Messenger-applikasjoner overfører ikke media automatisk til prosesser som mediaserver.
Når det gjelder spørsmål som er nevnt i forrige bulletin
18. mars 2016 ga Google ut en egen tilleggs sikkerhetsbulletin om problemer i Linux-kjernen som brukes på mange Android-telefoner og nettbrett. Det ble demonstrert at en utnyttelse i versjon 3.4, 3.10 og 3.14 av Linux-kjernen som ble brukt i Android tillot at enheter ble permanent kompromittert - forankret, med andre ord - og berørte telefoner og andre enheter vil kreve en gjenopplasting av operativsystemet for å gjenopprette. Fordi et program var i stand til å demonstrere denne utnyttelsen, ble det offentliggjort en bulletin fra midten av måneden. Google nevnte også at Nexus-enheter ville motta en oppdatering "innen få dager." Denne oppdateringen materialiserte seg aldri, og Google nevner ikke hvorfor i den siste sikkerhetsbulletinen.
Problemet - CVE-2015-1805 - har blitt oppdatert helt i sikkerhetsoppdateringen 2. april 2016. AOSP-filialer for Android-versjoner 4.4.4, 5.0.2, 5.1.1, 6.0 og 6.0.1 har mottatt denne oppdateringen, og utrullingen til kilden pågår.
Google nevner også at enheter som kan ha mottatt en oppdatering datert 1. april 2016, ikke har blitt lappet mot denne spesielle utnyttelsen, og bare Android-enheter med oppdateringsnivå datert 2. april 2016 eller senere er nåværende.
Oppdateringen sendt til Verizon Galaxy S6 og Galaxy S6 edge er datert 2. april 2016 og gjør inneholder disse løsningene.
Oppdateringen sendt til T-Mobile Galaxy S7 og Galaxy S7 edge er datert 2. april 2016 og gjør inneholder disse løsningene.
Bygg AAE298 for ulåste BlackBerry Priv-telefoner er datert 2. april 2016 og gjør inneholder disse løsningene. Den ble utgitt i slutten av mars 2016.
Telefoner som kjører en 3.18-kjerneversjon påvirkes ikke av dette problemet, men krever fortsatt oppdateringene for andre problemer som ble adressert i oppdateringen 2. april 2016.
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse øreproppene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett-smarttelefonserie. Siden de begge er Android One-enheter, mottar de garantert to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Sikre hjemmet ditt med disse SmartThings dørklokkene og låser.
En av de beste tingene med SmartThings er at du kan bruke en rekke andre tredjepartsenheter på systemet ditt, inkludert dørklokker og låser. Siden de i det vesentlige deler den samme SmartThings-støtten, har vi fokusert på hvilke enheter som har de beste spesifikasjonene og triksene for å rettferdiggjøre å legge dem til SmartThings-arsenalet ditt.