A Google kiadta a legfrissebb Android biztonsági frissítést, amely tartalmazza a részleteket és az elérhető új szoftvert. Az új biztonsági javítás szintje 2016. június 1-je, az Android nyílt forráskódú projekt módosításainak pedig 48 órán belül be kell fejeződni és közzétenni. A Google azt is elmondja nekünk, hogy a partnerek május 2-e óta vagy korábban hozzáférhetnek a havi közlemény figyelmeztetéseihez.
A Google szerint nincsenek jelentések olyan eszközökről, amelyeket ezen biztonsági rések aktívan kihasználtak.
Ez a hónap 21 biztonsági rést tartalmaz, amelyek súlyossága a kritikától a közepesig terjed. A Google szerint a legsúlyosabb probléma "egy kritikus biztonsági rés, amely a médiafájlok feldolgozása során lehetővé teheti a távoli kódfuttatást az érintett eszközön többféle módszerrel, például e-mailben, internetes böngészéssel és MMS-sel". Úgy tűnik, hogy a Stagefright könyvtár továbbra is népszerű figyelmet fordít a biztonsági kutatók, valamint a Google biztonsági csapata számára, ami még fontosabbá teszi a médiakiszolgáló szétválasztását az operációs rendszer rétegéből és az Android N külön történő frissítését.
A Google hangsúlyozza (mint minden hónapban), hogy nincsenek jelentések olyan eszközökről, amelyeket ezen biztonsági rések aktívan kihasználtak, és hogy a platformszintű biztonsági és szolgáltatásvédelem, mint például a SafetyNet, meglehetősen csekély kockázatot jelent arra, hogy ténylegesen érinteni fogják.
Gyors összefoglaló:
- Az Android számos kérdésének kihasználását megnehezíti az Android platform újabb verzióinak fejlesztése. Arra biztatjuk az összes felhasználót, hogy frissítsen az Android legújabb verziójára.
- Az Android Security csapata aktívan figyeli a visszaéléseket a Verify Apps és a SafetyNet segítségével, amelyek célja a felhasználók figyelmeztetése a potenciálisan káros alkalmazásokról. Az Alkalmazások ellenőrzése alapértelmezés szerint engedélyezve van a Google Mobilszolgáltatásokkal rendelkező készülékeken, és különösen fontos azoknak a felhasználóknak, akik alkalmazásokat telepítenek a Google Playen kívülről. Az eszközök gyökerező eszközei a Google Playen tilosak, de a Verify Apps figyelmezteti a felhasználókat, ha megkísérelnek telepíteni egy észlelt gyökérző alkalmazást - függetlenül attól, hogy honnan származik. Ezenkívül a Verify Apps megkísérel azonosítani és blokkolni az ismert rosszindulatú alkalmazások telepítését, amelyek kihasználják a privilégiumok eszkalációs sebezhetőségét. Ha egy ilyen alkalmazás már telepítve van, a Verified Apps értesíti a felhasználót, és megkísérel eltávolítani az észlelt alkalmazást.
- Adott esetben a Google Hangouts és a Messenger alkalmazások nem továbbítják automatikusan a médiát olyan folyamatokra, mint a médiaszerver.
Az összes probléma címe megtalálható a biztonsági közlemény webhelyén.
Nincs szó arról, hogy mikor várható el a javítás bármely más Android-alapú eszközön, ám a jelenlegi Nexus eszközök, az Android One telefonok és a Pixel C frissítéseket jelentenek, amelyek ma kezdődnek a levegőben, és ezeket be kell gördíteni minden eszközt megfelelő időben. Ha türelmetlen típusú (és ha igen, miért nem futtatja az Android N Beta verziót?), Akkor villoghatja a Google fejlesztői webhelyén közzétett gyári képeket.
