Tartalomjegyzék:
A Google közzétette az Android április 2-i biztonsági javításának részleteit, teljesen enyhítve a néhány héttel ezelőtt egy közleményben leírt problémákat, valamint egy fordulatot vagy más kritikus és mérsékelt problémákat. Ez kissé különbözik a korábbi közleményektől, különös figyelmet fordítva a privilégiumok eszkalációs sebezhetőségére az Android rendszerben használt Linux kernel 3.4, 3.10 és 3.14 verzióiban. Ezt tovább tárgyaljuk az oldalon. Időközben itt van az a bontás, amit tudnod kell a havi javításról.
A frissített firmware-képek most elérhetők a jelenleg támogatott Nexus-eszközökhöz a Google Fejlesztő webhelyén. Az Android nyílt forráskódú projektje ezeket a változásokat bevezetik a releváns ágazatokba, és minden 48 órán belül kész és szinkronizált lesz. A jelenleg támogatott Nexus telefonok és táblagépek levegőben történő frissítése folyamatban van, és a Google szokásos bevezetési eljárását fogja követni - egy-két hétbe telhet, amíg eljut a Nexushoz. Minden partner - azaz azok a személyek, akik a telefonját gyártották, márkától függetlenül - már 2016. március 16-tól hozzáférhetnek ezekhez a javításokhoz, és az eszközöket saját egyedi ütemezésük szerint hirdetik és javítják.
A legsúlyosabb megoldott probléma egy olyan biztonsági rés, amely lehetővé teheti a távoli kódfuttatást a médiafájlok feldolgozásakor. Ezeket a fájlokat bármilyen módon el lehet küldeni a telefonjára - e-mailben, MMS-ben böngészés közben vagy azonnali üzenetküldéssel. Egyéb javított kritikus kérdések a DHCP kliensre, a Qualcomm Performance Module-ra és az RF illesztőprogramra vonatkoznak. Ezek a kihasználások lehetővé tehetik a kód futtatását, amely véglegesen veszélyezteti az eszköz firmware-jét, arra kényszerítve a végfelhasználót, hogy újra kell villannia a teljes operációs rendszert - ha "a platform- és szolgáltatáscsökkentéseket letiltják a fejlesztési javaslatok". Ez azt jelenti, hogy biztonsági szempontból ismert az ismeretlen forrásból származó alkalmazások telepítése és / vagy az OEM feloldása.
A javított további sebezhetőségek közé tartoznak a gyári alaphelyzetbe állítás elleni védelem megkerülésére szolgáló módszerek, a szolgáltatásmegtagadás támadásainak kihasználására szolgáló kérdések, valamint a gyökérkönyvtárakkal történő kódfuttatást lehetővé tevő kérdések. Az informatikai szakemberek örömmel látják e-mail és ActiveSync problémákat is, amelyek lehetővé teszik a frissítésben javított "érzékeny" információk elérését.
Mint mindig, a Google arra is emlékeztet bennünket, hogy nem érkezett bejelentés arról, hogy ezeket a problémákat a felhasználók érintenék, és ajánlott eljárással rendelkeznek, amely megakadályozza, hogy az eszközök ezen és a jövőbeli kérdések áldozatává váljanak:
- Az Android számos kérdésének kihasználását megnehezíti az Android platform újabb verzióinak fejlesztése. Arra biztatjuk az összes felhasználót, hogy frissítsen az Android legújabb verziójára.
- Az Android biztonsági csapata aktívan figyeli a visszaéléseket a Verify Apps és a SafetyNet segítségével, amelyek figyelmeztetik a felhasználót a potenciálisan káros alkalmazások telepítésére. Az eszközök gyökerező eszközei tilos a Google Playen. A Google Playen kívülről alkalmazásokat telepítő felhasználók védelme érdekében az Ellenőrző alkalmazások alapértelmezés szerint engedélyezve vannak, és figyelmeztetik a felhasználókat az ismert gyökerező alkalmazásokról. Az Ellenőrző alkalmazások megpróbálják azonosítani és blokkolni az ismert rosszindulatú alkalmazások telepítését, amelyek kihasználják a privilégiumok eszkalációjának sérülékenységét. Ha egy ilyen alkalmazás már telepítve van, az Ellenőrző alkalmazások értesíti a felhasználót, és megpróbálja eltávolítani az ilyen alkalmazásokat.
- Adott esetben a Google Hangouts és a Messenger alkalmazások nem továbbítják automatikusan a médiát olyan folyamatokra, mint a médiaszerver.
Az előző közleményben említett kérdésekkel kapcsolatban
2016. március 18-án a Google külön kiegészítő biztonsági közleményt adott ki a sok Android telefonon és táblagépen használt Linux kernel problémáiról. Kimutatták, hogy az Android rendszerben használt Linux kernel 3.4, 3.10 és 3.14 verzióiban történő kihasználása lehetővé tette az eszközök tartós veszélyeztetését - más szavakkal gyökerezik -, valamint az érintett telefonok és más eszközök számára az operációs rendszer újbóli villogására lenne szükség. visszaszerez. Mivel egy alkalmazás képes volt kimutatni ezt a kihasználást, a hónap közepén közzétették a közleményt. A Google megemlítette azt is, hogy a Nexus eszközök "néhány napon belül" kapnak javítást. Ez a javítás soha nem valósult meg, és a Google nem említi a legfrissebb biztonsági közleményben, miért.
A probléma - a CVE-2015-1805 - tökéletesen javításra került a 2016. április 2-i biztonsági frissítés során. Az AOSP ágak az Android 4.4.4, 5.0.2, 5.1.1, 6.0 és 6.0.1 verziókhoz megkapták ezt a javítást, és a forráshoz történő telepítés folyamatban van.
A Google megemlíti azt is, hogy azok az eszközök, amelyek esetleg 2016. április 1-jén kaptak javítást, nem voltak javítva erre a célra, és csak azok a Android-eszközök vannak jelen, amelyek javítási szintje 2016. április 2-án vagy későbbi.
A Verizon Galaxy S6 és a Galaxy S6 élére elküldött frissítés 2016. április 2-án kelt, és tartalmazza ezeket a javításokat.
A T-Mobile Galaxy S7 és a Galaxy S7 élére elküldött frissítés 2016. április 2-án kelt, és tartalmazza ezeket a javításokat.
A fel nem oldott BlackBerry Priv telefonokhoz készült AAE298 készüléke 2016. április 2-án keltezett, és tartalmazza ezeket a javításokat. A film 2016. március végén jelent meg.
A 3.18 kernel verziót futtató telefonokat ez a kérdés nem érinti, ám a 2016. április 2-i javításban szereplő egyéb problémákhoz még mindig javításokra van szükség.
