Google випустила останнє щомісячне оновлення безпеки Android, з повними подробицями та новим програмним забезпеченням. Нова дата виправлення рівня безпеки - 1 червня 2016 року, і зміни до Проекту з відкритим кодом Android повинні бути завершені та опубліковані протягом 48 годин. Google також повідомляє нам, що партнери мали доступ до попереджень у бюлетені цього місяця з 2 травня або раніше.
Google каже, що було зареєстровано нульові звіти про будь-які пристрої, активно експлуатовані цими вразливими місцями.
Цей місяць приносить виправлення для 21 вразливості безпеки, починаючи від тяжкості від критичної до помірної. За даними Google, найбільш гострою проблемою є "критична вразливість безпеки, яка могла б забезпечити віддалене виконання коду на ураженому пристрої за допомогою декількох методів, таких як електронна пошта, веб-перегляд та MMS при обробці медіа-файлів". Виявляється, що бібліотека Stagefright продовжує залишатися популярною для дослідників безпеки, а також команди з безпеки Google, завдяки чому розбиття медіа-сервера на рівень ОС та оновлення окремо в Android N є ще більш важливим.
Google також наголошує (як це робиться щомісяця), що надходили нульові повідомлення про будь-які пристрої, активно використовувані цими вразливими місцями, і що захист на рівні платформи та засоби захисту, такі як SafetyNet, ризикують насправді вплинути досить низько.
Швидкий підсумок:
- Експлуатація багатьох питань на Android ускладнюється вдосконаленням новіших версій платформи Android. Ми радимо всім користувачам оновити до останньої версії Android там, де це можливо.
- Команда Android Security активно стежить за зловживаннями за допомогою Verify Apps і SafetyNet, які призначені для попередження користувачів про потенційно шкідливі програми. Перевірка додатків увімкнена за умовчанням на пристроях Google Mobile Services і особливо важлива для користувачів, які встановлюють додатки за межами Google Play. Інструменти вкорінення пристроїв заборонені в Google Play, але Verify Apps попереджає користувачів, коли вони намагаються встановити виявлену програму вкорінення - незалежно від того, звідки вона походить. Крім того, Verify Apps намагається виявити та заблокувати встановлення відомих шкідливих програм, які використовують вразливість ескалації привілеїв. Якщо такий додаток уже встановлено, Verify Apps повідомить користувача про спробу видалення виявленої програми.
- У відповідних випадках програми Google Hangouts та програми Messenger не передають медіа-файли автоматично таким процесам, як медіасервер.
Повна інформація про всі проблеми, які ви знайдете, можна знайти на веб-сайті інформаційного бюлетеня.
Немає жодного слова про те, коли очікувати виправлення для будь-якого іншого пристрою, що працює на Android, але для нинішніх пристроїв Nexus, телефонів Android One та Pixel C оновлення починається вже сьогодні, і його слід випустити на всі пристрої вчасно. Якщо ви нетерплячий (і якщо так, то чому ви не працюєте з Android N Beta?), Ви можете прошивати фабричні зображення, розміщені на веб-сайті розробника Google.
