Google má zverejnil podrobnosti okolo bezpečnostnej opravy 2. apríla pre Android, ktorá úplne zmierňuje problémy opísané v bulletine pred niekoľkými týždňami, ako aj zabité alebo iné kritické a stredne závažné problémy. Ten sa trochu líši od predchádzajúcich bulletinov, pričom sa osobitná pozornosť venovala zraniteľnosti pri eskalácii privilégií vo verziách jadra Linux používaného v systéme Android verzie 3.4, 3.10 a 3.14. O tom si ešte povieme nižšie. Medzitým tu uvádzame rozpis toho, čo potrebujete vedieť o oprávnení pre tento mesiac.
Aktualizované obrázky firmvéru sú teraz k dispozícii pre momentálne podporované zariadenia Nexus na webe Web pre vývojárov Google. V rámci Android Open Source Project sa tieto zmeny zavádzajú do príslušných pobočiek už teraz a všetko bude hotové a synchronizované do 48 hodín. Pre aktuálne podporované telefóny a tablety Nexus prebiehajú bezdrôtovo a budú sa riadiť štandardným postupom zavádzania Google - prístup k zariadeniu Nexus môže trvať týždeň alebo dva. Všetci partneri - to znamená ľudia, ktorí vytvorili váš telefón, bez ohľadu na značku - k nim mali prístup tieto opravy k 16. marcu 2016 a budú oznamovať a opravovať zariadenia na svojej vlastnej osobe harmonogramy.
Verizon ponúka Pixel 4a na nových linkách Unlimited iba za 10 dolárov za mesiac
Najzávažnejším riešeným problémom je zraniteľnosť, ktorá by mohla umožniť vzdialené spustenie kódu pri spracovaní mediálnych súborov. Tieto súbory je možné odoslať do vášho telefónu akýmikoľvek prostriedkami - e-mailom, prehľadávaním webových správ MMS alebo okamžitými správami. Ďalšie opravené kritické problémy sú špecifické pre klienta DHCP, výkonový modul Qualcomm a RF ovládač. Tieto zneužitia by mohli umožniť spustenie kódu, ktorý trvale ohrozuje firmvér zariadenia, a nútiť koncového používateľa k nutnosti opätovného flashovania celého operačného systému - ak „platforma“ a zmiernenie služieb je pre vývojové návrhy zakázané. “To je slovo bezpečnostného hlupáka, ktoré umožňuje inštaláciu aplikácií z neznámych zdrojov a / alebo povolenie OEM odblokovanie.
Medzi ďalšie opravené chyby zabezpečenia patria aj metódy obchádzania ochrany pred obnovením továrenských nastavení, ktoré by mohli byť využívané na umožnenie útokov odmietnutia služby a problémov, ktoré umožňujú vykonávanie kódu na zariadeniach s koreň. IT profesionáli tiež radi uvidia problémy s poštou a ActiveSync, ktoré by mohli umožniť prístup k „citlivým“ informáciám opraveným v tejto aktualizácii.
Ako vždy, Google nám tiež pripomína, že neexistujú žiadne správy o tom, že by používatelia boli týmito problémami ovplyvnení, a majú odporúčaný postup, ktorý pomáha zabrániť tomu, aby sa zariadenia stali obeťami týchto aj budúcich problémy:
- Vykorisťovanie mnohých problémov v Androide sťažujú vylepšenia v novších verziách platformy Android. Odporúčame všetkým používateľom, aby podľa možnosti aktualizovali na najnovšiu verziu systému Android.
- Tím Android Security aktívne monitoruje zneužívanie pomocou Verify Apps a SafetyNet, ktoré používateľa upozornia na zistené potenciálne škodlivé aplikácie, ktoré sa majú nainštalovať. Nástroje na zakorenenie zariadení sú v službe Google Play zakázané. V rámci ochrany používateľov, ktorí si inštalujú aplikácie mimo služby Google Play, je v predvolenom nastavení povolená funkcia Overiť aplikácie, ktorá používateľov upozorní na známe rootujúce aplikácie. Verify Apps sa pokúša identifikovať a blokovať inštaláciu známych škodlivých aplikácií, ktoré využívajú zraniteľnosť pri eskalácii privilégií. Ak už bola takáto aplikácia nainštalovaná, program Verify Apps na to upozorní používateľa a pokúsi sa všetky takéto aplikácie odstrániť.
- Aplikácie Google Hangouts a Messenger podľa potreby neprenášajú médiá automaticky na procesy, ako je napríklad server médií.
Pokiaľ ide o problémy uvedené v predchádzajúcom bulletine
18. marca 2016 spoločnosť Google vydala samostatný doplnkový bulletin o problémoch v jadre Linuxu, ktoré sa používa na mnohých telefónoch a tabletoch s Androidom. Ukázalo sa, že exploit vo verziách 3.4, 3.10 a 3.14 jadra Linuxu používaného v Androide umožňoval zariadeniam natrvalo kompromitované - inými slovami zakorenené - a dotknuté telefóny a ďalšie zariadenia by si na zotavenie vyžadovali opätovný blesk operačného systému. Pretože aplikácia dokázala toto zneužitie, bol vydaný bulletin v polovici mesiaca. Google tiež spomenul, že zariadenia Nexus dostanú opravu „do niekoľkých dní“. Táto oprava sa nikdy neuskutočnila a Google v najnovšom bulletine zabezpečenia nijako nehovorí o dôvodoch.
Číslo - CVE-2015-1805 - bolo v aktualizácii zabezpečenia z 2. apríla 2016 úplne opravené. Pobočky AOSP pre Android verzie 4.4.4, 5.0.2, 5.1.1, 6.0 a 6.0.1 dostali túto opravu a zavádza sa zdroj.
Google tiež spomína, že zariadenia, ktoré mohli dostať opravu z 1. apríla 2016, neboli opravené proti tomuto konkrétnemu zneužitiu a sú to iba zariadenia s Androidom s úrovňou opravy z 2. apríla 2016 alebo novšou prúd.
Aktualizácia odoslaná pre Verizon Galaxy S6 a Galaxy S6 edge je z 2. apríla 2016 a robí obsahujú tieto opravy.
Aktualizácia bola odoslaná T-Mobile Galaxy S7 a Galaxy S7 edge je z 2. apríla 2016 a robí obsahujú tieto opravy.
Zostavenie AAE298 pre odomknuté telefóny BlackBerry Priv je datované 2. apríla 2016 a robí obsahujú tieto opravy. Vyšla koncom marca 2016.
Telefóny s verziou jadra 3.18 tento konkrétny problém neovplyvňuje, stále však vyžadujú opravy ďalších problémov, ktoré sú uvedené v aktualizácii z 2. apríla 2016.
Počúvali ste tento týždeň Android Central Podcast?
Každý týždeň vám Android Central Podcast prináša najnovšie technologické správy, analýzy a zaujímavé novinky so známymi spolupracovníkmi a špeciálnymi hosťami.
- Prihlásiť sa na odber vo vrecku: Zvuk
- Prihlásiť sa na odber v Spotify: Zvuk
- Prihlásiť sa na odber v iTunes: Zvuk
Za nákupy môžeme získať províziu pomocou našich odkazov. Uč sa viac.
Toto sú najlepšie bezdrôtové slúchadlá do uší, ktoré si môžete kúpiť za každú cenu!
Najlepšie bezdrôtové slúchadlá do uší sú pohodlné, skvele znejú, nestoja príliš veľa nákladov a ľahko sa zmestia do vrecka.
Všetko, čo potrebujete vedieť o PS5: Dátum vydania, cena a ďalšie.
Spoločnosť Sony oficiálne potvrdila, že pracuje na PlayStation 5. Tu je všetko, čo o nej zatiaľ vieme.
Spoločnosť Nokia predstavuje dva nové lacné telefóny s Androidom One do 200 dolárov.
Nokia 2.4 a Nokia 3.4 sú najnovším prírastkom do cenovej ponuky inteligentných telefónov spoločnosti HMD Global. Pretože sú to obe zariadenia Android One, je zaručené, že budú dostávať dve hlavné aktualizácie operačného systému a pravidelné bezpečnostné aktualizácie až na tri roky.
Zabezpečte si svoj domov pomocou týchto zvončekov a zámkov SmartThings.
Jednou z najlepších vecí na SmartThings je, že vo svojom systéme môžete používať množstvo ďalších zariadení tretích strán, vrátane zvončekov a zámkov. Pretože všetky v zásade zdieľajú rovnakú podporu SmartThings, zamerali sme sa na to, ktoré zariadenia majú najlepšie technické parametre a triky, vďaka ktorým je možné ich pridať do vášho arzenálu SmartThings.