Η Google κυκλοφόρησε την τελευταία μηνιαία ενημερωμένη έκδοση ασφαλείας Android, με πλήρη στοιχεία και νέο λογισμικό διαθέσιμο. Η νέα τιμή Επίπεδο ασφάλειας είναι η 1η Ιουνίου 2016 και οι αλλαγές στο πρόγραμμα Android Open Source θα πρέπει να ολοκληρωθούν και να δημοσιευθούν εντός 48 ωρών. Η Google μας λέει επίσης ότι οι εταίροι είχαν πρόσβαση στις προειδοποιήσεις στο δελτίο αυτό το μήνα από τις 2 Μαΐου ή νωρίτερα.
Το Google λέει ότι υπήρξαν μηδενικές αναφορές για οποιεσδήποτε συσκευές που εκμεταλλεύονται ενεργά αυτά τα τρωτά σημεία.
Αυτό το μήνα φέρνει patches για 21 ευπάθειες ασφαλείας, που κυμαίνονται από σοβαρότητα έως μέτρια. Σύμφωνα με την Google, το πιο σοβαρό ζήτημα είναι "ένα κρίσιμο θέμα ευπάθειας ασφαλείας που θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα σε μια επηρεαζόμενη συσκευή μέσω πολλαπλών μεθόδων όπως το ηλεκτρονικό ταχυδρομείο, η περιήγηση στο Web και το MMS κατά την επεξεργασία αρχείων πολυμέσων". Φαίνεται ότι η βιβλιοθήκη Stagefright εξακολουθεί να είναι μια δημοφιλής εστίαση για τους ερευνητές ασφάλειας καθώς και την ομάδα ασφάλειας της Google, η οποία καθιστά ακόμα πιο σημαντικό το χωρισμό του διακομιστή πολυμέσων από το επίπεδο OS και την ξεχωριστή ενημέρωση στο Android N.
Η Google τονίζει επίσης (όπως και κάθε μήνα) ότι υπήρξαν μηδενικές αναφορές για οποιεσδήποτε συσκευές εκμεταλλεύονται ενεργά αυτά τα τρωτά σημεία και ότι οι προστασίες ασφαλείας σε επίπεδο πλατφόρμας και οι υπηρεσίες προστασίας όπως το SafetyNet κάνουν τον κίνδυνο να επηρεαστούν πραγματικά πολύ χαμηλά.
Μια γρήγορη περίληψη:
- Η εκμετάλλευση πολλών ζητημάτων στο Android γίνεται πιο δύσκολη από τις βελτιώσεις σε νεότερες εκδόσεις της πλατφόρμας Android. Ενθαρρύνουμε όλους τους χρήστες να ενημερώσουν την πιο πρόσφατη έκδοση του Android, όπου είναι δυνατόν.
- Η ομάδα ασφάλειας Android παρακολουθεί ενεργά για κατάχρηση με το Verify Apps και το SafetyNet, οι οποίες έχουν σχεδιαστεί για να προειδοποιούν τους χρήστες σχετικά με δυνητικά επιβλαβείς εφαρμογές. Η επαλήθευση των εφαρμογών είναι ενεργοποιημένη από προεπιλογή σε συσκευές με υπηρεσίες Google Mobile Services και είναι ιδιαίτερα σημαντική για χρήστες που εγκαθιστούν εφαρμογές εκτός του Google Play. Τα εργαλεία εξάπλωσης των συσκευών απαγορεύονται στο Google Play, αλλά η επαλήθευση των εφαρμογών προειδοποιεί τους χρήστες όταν επιχειρούν να εγκαταστήσουν μια εντοπισμένη εφαρμογή ριζοβολίας - ανεξάρτητα από το πού προέρχεται. Επιπλέον, το στοιχείο Επαλήθευση εφαρμογών επιχειρεί να εντοπίσει και να αποκλείσει την εγκατάσταση γνωστών κακόβουλων εφαρμογών που εκμεταλλεύονται ευπάθεια κλιμάκωσης δικαιωμάτων. Εάν μια τέτοια εφαρμογή έχει ήδη εγκατασταθεί, το Verify Apps θα ειδοποιήσει τον χρήστη και θα προσπαθήσει να καταργήσει την εφαρμογή που εντοπίστηκε.
- Κατά περίπτωση, οι εφαρμογές Google Hangouts και Messenger δεν μεταβιβάζουν αυτόματα πολυμέσα σε διαδικασίες όπως το mediaserver.
Λεπτομέρειες σχετικά με όλες τις διευθύνσεις των ζητημάτων μπορείτε να βρείτε στο δικτυακό τόπο του δελτίου ασφαλείας.
Δεν υπάρχει λόγος για το πότε να περιμένετε την ενημερωμένη έκδοση κώδικα για οποιαδήποτε άλλη συσκευή Android, αλλά οι τρέχουσες συσκευές Nexus, τα τηλέφωνα Android One και το Pixel C έχουν σήμερα μια ενημερωτική εκστρατεία που ξεκινά από την αρχή και θα πρέπει να ξεδιπλώνονται όλες τις συσκευές σε εύθετο χρόνο. Εάν είστε ανυπόμονος τύπος (και αν ναι, γιατί δεν τρέχετε το Android N Beta;) μπορείτε να αναβοσβήνετε τις εργοστασιακές εικόνες που δημοσιεύονται στον ιστότοπο του Google Developer.
