Google выпустил последнее ежемесячное обновление для системы безопасности Android с полной информацией и новым программным обеспечением. Дата нового уровня обновления для системы безопасности - 1 июня 2016 г., а изменения в проекте Android с открытым исходным кодом должны быть завершены и опубликованы в течение 48 часов. Google также сообщает нам, что партнеры получили доступ к предупреждениям в бюллетене за этот месяц со 2 мая или ранее.
Google говорит, что не было никаких сообщений о любых устройствах, активно эксплуатируемых этими уязвимостями.
В этом месяце появятся исправления для 21 уязвимости безопасности, от серьезности до критической или умеренной. По словам Google, наиболее серьезной проблемой является «критическая уязвимость безопасности, которая может позволить удаленное выполнение кода на уязвимом устройстве с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке мультимедийных файлов». Похоже, что библиотека Stagefright продолжает оставаться популярным направлением для исследователей безопасности, а также для команды безопасности Google, что делает выделение медиасервера из уровня ОС и обновление отдельно в Android N еще более важным.
Google также подчеркивает (как и каждый месяц), что не было никаких сообщений о любых устройствах, активно используемых этими уязвимостями, и что средства защиты на уровне платформы и службы, такие как SafetyNet, делают риск фактического воздействия довольно низким.
Краткое резюме:
- Использование многих проблем на Android усложняется благодаря улучшениям в новых версиях платформы Android. Мы рекомендуем всем пользователям обновиться до последней версии Android, где это возможно.
- Команда Android Security активно отслеживает злоупотребления с помощью приложений Verify Apps и SafetyNet, которые предназначены для предупреждения пользователей о потенциально опасных приложениях. Убедитесь, что приложения включены по умолчанию на устройствах с Google Mobile Services, и это особенно важно для пользователей, которые устанавливают приложения из-за пределов Google Play. Инструменты рутирования устройств запрещены в Google Play, но Verify Apps предупреждает пользователей, когда они пытаются установить обнаруженное рутирующее приложение, независимо от того, откуда оно взято. Кроме того, Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить обнаруженное приложение.
- При необходимости приложения Google Hangouts и Messenger не передают медиаданные автоматически таким процессам, как медиасервер.
Полную информацию обо всех проблемах можно найти на сайте бюллетеня по безопасности.
Пока неизвестно, когда ожидать исправления для любого другого устройства на платформе Android, но современные устройства Nexus, телефоны Android One и Pixel C имеют обновление, выходящее в эфир с сегодняшнего дня, и его следует развернуть до все устройства в свое время. Если вы нетерпеливый тип (и если да, то почему вы не используете Android N Beta?), Вы можете прошить заводские изображения, размещенные на сайте разработчиков Google.