Google je objavio najnovije mjesečno ažuriranje sigurnosti za Android, s punim detaljima i dostupnim novim softverom. Novi datum razine sigurnosne zakrpe je 1. lipnja 2016., a izmjene Projekta otvorenog koda Android trebalo bi biti završene i objavljene u roku od 48 sati. Google nam također kaže da su partneri imali pristup upozorenjima u ovosezonskim biltenima od 2. svibnja ili ranije.
Google kaže da nije bilo izvještaja o svim uređajima koji aktivno koriste ove ranjivosti.
Ovaj mjesec donosi zakrpe za 21 sigurnosnu ranjivost, u rasponu ozbiljnosti od kritične do umjerene. Prema Googleu, najozbiljniji problem je "kritična sigurnosna ranjivost koja bi mogla omogućiti daljinsko izvršenje koda na pogođenom uređaju pomoću više metoda, poput e-pošte, pretraživanja interneta i MMS-a prilikom obrade medijskih datoteka." Čini se da je Stagefright knjižnica i dalje popularno središte istraživača sigurnosti kao i Googleovog tima za sigurnost, zbog čega je dijeljenje medijskog poslužitelja izvan OS sloja i ažuriranje zasebno u Android N još važnije.
Google također naglašava (kao i svaki mjesec) da su postojala nulta izvješća o bilo kojim uređajima koje aktivno koriste ove ranjivosti i da sigurnosne zaštite na razini platforme i zaštitne usluge poput SafetyNet-a čine rizik da se zapravo utječe prilično nisko.
Brzi sažetak:
- Iskorištavanje mnogih problema na Androidu otežava se poboljšanjima novijih verzija Android platforme. Potičemo sve korisnike da se ažuriraju na najnoviju verziju Androida gdje je to moguće.
- Android Security tim aktivno nadgleda zloupotrebe s Verify Apps i SafetyNet koji su osmišljeni kako bi upozorili korisnike na potencijalno štetne aplikacije. Provjera aplikacija je podrazumijevano omogućena na uređajima s Google Mobile Mobile Services, a posebno je važna za korisnike koji instaliraju aplikacije izvan Google Play-a. Alati za ukorijenjivanje uređaja zabranjeni su u Google Playu, ali Verify Apps upozorava korisnike kad pokušaju instalirati otkrivenu aplikaciju za ukorjenjivanje - bez obzira odakle potječu. Uz to, Verify Apps pokušava identificirati i blokirati instalaciju poznatih zlonamjernih aplikacija koje koriste ranjivost eskalacije privilegija. Ako je takva aplikacija već instalirana, Verify Apps će obavijestiti korisnika i pokušati ukloniti otkrivenu aplikaciju.
- Prema potrebi, Google Hangouts i Messenger aplikacije automatski ne prosljeđuju medij u postupke poput medijaservera.
Potpune pojedinosti o svim pitanjima možete pronaći na web mjestu o sigurnosnim biltenima.
Nema riječi o tome kada treba očekivati zakrpu za bilo koji drugi uređaj sa sustavom Android, ali trenutni Nexus uređaji, Android One telefoni i Pixel C ažuriranje potiču iz zraka i to bi trebalo biti uvedeno u svi uređaji na vrijeme. Ako ste tip nestrpljenja (i ako jeste, zašto ne pokrećete Android N Beta?), Možete bljeskati tvorničkim slikama objavljenim na Googleovoj web lokaciji za razvojne programere.
