Firma Google wydała ostatnią comiesięczną aktualizację zabezpieczeń Androida, zawierającą pełne szczegóły i dostępne nowe oprogramowanie. Data nowego poziomu poprawek zabezpieczeń to 1 czerwca 2016 r., a zmiany w projekcie Android Open Source Project powinny zostać zakończone i opublikowane w ciągu 48 godzin. Google informuje nas również, że partnerzy mieli dostęp do ostrzeżeń w biuletynie z tego miesiąca od 2 maja lub wcześniej.
Google twierdzi, że nie było zgłoszeń o jakichkolwiek urządzeniach aktywnie wykorzystywanych przez te luki.
W tym miesiącu dostępne są łatki dla 21 luk w zabezpieczeniach, o różnym stopniu ważności, od krytycznego do umiarkowanego. Według Google najpoważniejszym problemem jest „krytyczna luka w zabezpieczeniach, która może umożliwić zdalne wykonanie kodu na komputerze urządzenie, którego dotyczy problem, za pomocą wielu metod, takich jak poczta e-mail, przeglądanie stron internetowych i MMS podczas przetwarzania plików multimedialnych”. Biblioteka Stagefright nadal jest popularnym przedmiotem zainteresowania badaczy bezpieczeństwa, a także zespołu ds. bezpieczeństwa Google, co sprawia, że
wydzielenie serwera multimediów z warstwy systemu operacyjnego i aktualizacja osobno w Androidzie N jeszcze ważniejsza.Google podkreśla również (jak co miesiąc), że nie ma żadnych raportów o aktywnie wykorzystywanych przez nich urządzeniach luki w zabezpieczeniach oraz że zabezpieczenia na poziomie platformy i zabezpieczenia usług, takie jak SafetyNet, stwarzają ryzyko faktycznego wpływ dość niski.
Szybkie podsumowanie:
- Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida, jeśli to możliwe.
- Zespół Android Security aktywnie monitoruje nadużycia za pomocą aplikacji Verify Apps i SafetyNet, których celem jest ostrzeganie użytkowników przed potencjalnie szkodliwymi aplikacjami. Weryfikacja aplikacji jest domyślnie włączona na urządzeniach z usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play. Narzędzia do rootowania urządzeń są zabronione w Google Play, ale Verify Apps ostrzega użytkowników, gdy próbują zainstalować wykrytą aplikację do rootowania — bez względu na to, skąd ona pochodzi. Ponadto Verify Apps próbuje identyfikować i blokować instalację znanych złośliwych aplikacji, które wykorzystują lukę w zabezpieczeniach umożliwiającą eskalację uprawnień. Jeśli taka aplikacja została już zainstalowana, Verify Apps powiadomi użytkownika i spróbuje usunąć wykrytą aplikację.
- W stosownych przypadkach aplikacje Google Hangouts i Messenger nie przekazują automatycznie multimediów do procesów takich jak serwer multimediów.
Szczegółowe informacje na temat adresów wszystkich problemów można znaleźć pod adresem witryna z biuletynami bezpieczeństwa.
Nie wiadomo, kiedy spodziewać się łatki dla jakiegokolwiek innego urządzenia z Androidem, ale jest to aktualne Ogniwo urządzenia, Android One telefony komórkowe i Pixel C mają aktualizację wypychaną bezprzewodowo od dzisiaj i powinna zostać wdrożona na wszystkich urządzeniach w odpowiednim czasie. Jeśli jesteś typem niecierpliwym (a jeśli tak, to dlaczego nie korzystasz z Androida N Beta?), możesz sflashować fabryczne obrazy opublikowane na Witryna Google dla programistów.