Google ha llançat la darrera actualització mensual de seguretat d'Android, amb detalls complets i nou programari disponible. La nova data de Nivell de parcel·la de seguretat és l’1 de juny de 2016 i les modificacions del projecte de codi obert d’Android s’haurien d’acabar i publicar en 48 hores. Google també ens diu que els socis han tingut accés a les advertències del butlletí d'aquest mes des del 2 de maig o abans.
Google diu que hi ha hagut zero informes de dispositius explotats activament per aquestes vulnerabilitats.
Aquest mes presenta parches per a 21 vulnerabilitats de seguretat, que van de gravetat de crítica a moderada. Segons Google, el problema més greu és "una vulnerabilitat crítica de seguretat que podria permetre l'execució remota de codi en un dispositiu afectat mitjançant diversos mètodes com ara el correu electrònic, la navegació web i MMS quan processem fitxers multimèdia". Sembla que la biblioteca Stagefright continua sent un focus popular tant per als investigadors en seguretat com per a l’equip de seguretat de Google, cosa que fa que encara sigui més important dividir el servidor de mitjans de la capa del sistema operatiu i actualitzar-se per separat a Android N.
Google també subratlla (com passa cada mes) que hi ha hagut zero informes de dispositius explotats activament per aquestes vulnerabilitats, i que les proteccions de seguretat i de serveis a nivell de plataforma com SafetyNet fan que el risc de ser afectat en realitat.
Un resum breu:
- L'explotació de molts problemes a Android es fa més difícil gràcies a les millores de les versions més noves de la plataforma Android. Recomanem que tots els usuaris s’actualitzin a la versió més recent d’Android, quan sigui possible.
- L’equip de Seguretat d’Android fa un seguiment actiu de l’abús amb Verify Apps i SafetyNet, dissenyats per avisar els usuaris sobre aplicacions potencialment nocives. Verifica que les aplicacions estan habilitades de manera predeterminada en dispositius amb Google Mobile Services i és especialment important per als usuaris que instal·len aplicacions des de fora de Google Play. Les eines d’arrelament del dispositiu estan prohibides a Google Play, però Verify Apps avisa els usuaris quan intenten instal·lar una aplicació d’arrelament detectada, independentment d’on provingui. Addicionalment, Verifica aplicacions intenta identificar i bloquejar la instal·lació d'aplicacions malintencionades conegudes que exploten una vulnerabilitat d'escalada de privilegis. Si ja s'ha instal·lat aquesta aplicació, Verifiqueu aplicacions avisarà l'usuari i intentarà eliminar l'aplicació detectada.
- Segons correspon, les aplicacions de Google Hangouts i Messenger no passen automàticament contingut multimèdia a processos com el mediador.
Podeu trobar la informació completa de la direcció de tots els problemes al lloc del butlletí de seguretat.
No hi ha cap paraula sobre com espereu el pegat per a qualsevol altre dispositiu alimentat per Android, però els dispositius Nexus actuals, els telèfons Android One i el píxel C tenen una actualització que comença a publicar-se a l'aire lliure a partir d'avui i s'hauria de desplegar a tots els dispositius a temps Si no sou del tipus impacient (i si és així, per què no esteu executant Android N Beta?) Podeu fer servir les imatges de fàbrica publicades al lloc de desenvolupador de Google.
