Sommario:
Google ha rilasciato i dettagli relativi alla patch di sicurezza del 2 aprile per Android, mitigando completamente i problemi descritti in un bollettino diverse settimane fa, nonché una serie o altri problemi critici e moderati. Questo è un po 'diverso dai precedenti bollettini, con particolare attenzione alla vulnerabilità di escalation di privilegi nelle versioni 3.4, 3.10 e 3.14 del kernel Linux usato in Android. Ne discuteremo più in basso nella pagina. Nel frattempo, ecco la ripartizione di ciò che devi sapere sulla patch di questo mese.
Le immagini del firmware aggiornate sono ora disponibili per i dispositivi Nexus attualmente supportati sul sito di Google Developer. Il progetto Android Open Source prevede che queste modifiche vengano implementate nelle filiali interessate e tutto sarà completo e sincronizzato entro 48 ore. Sono in corso aggiornamenti over-the-air per telefoni e tablet Nexus attualmente supportati e seguiranno la procedura standard di implementazione di Google: potrebbero essere necessari una settimana o due per accedere al tuo Nexus. Tutti i partner - ciò significa che le persone che hanno costruito il telefono, indipendentemente dal marchio - hanno avuto accesso a queste correzioni a partire dal 16 marzo 2016 e annunceranno e patcheranno i dispositivi secondo i loro programmi individuali.
Il problema più grave affrontato è una vulnerabilità che potrebbe consentire l'esecuzione di codice in modalità remota durante l'elaborazione dei file multimediali. Questi file possono essere inviati al telefono in qualsiasi modo: e-mail, MMS di navigazione Web o messaggistica istantanea. Altri problemi critici corretti sono specifici per il client DHCP, il modulo prestazioni Qualcomm e il driver RF. Questi exploit potrebbero consentire l'esecuzione di codice che compromette permanentemente il firmware del dispositivo, costringendo l'utente finale a dover eseguire nuovamente il flashing dell'intero sistema operativo, se "le mitigazioni della piattaforma e del servizio sono disabilitate per le proposte di sviluppo". Questo è il nerd della sicurezza che consente l'installazione di app da fonti sconosciute e / o lo sblocco OEM.
Altre vulnerabilità corrotte includono anche metodi per bypassare Factory Reset Protection, problemi che potrebbero essere sfruttati per consentire attacchi denial of service e problemi che consentono l'esecuzione di codice su dispositivi con root. I professionisti IT saranno felici di vedere anche i problemi di posta e ActiveSync che potrebbero consentire l'accesso a informazioni "sensibili" corrette in questo aggiornamento.
Come sempre, Google ci ricorda anche che non ci sono segnalazioni di utenti interessati da questi problemi e hanno una procedura raccomandata per aiutare a evitare che i dispositivi cadano vittime di questi e problemi futuri:
- Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle nuove versioni della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android ove possibile.
- Il team di sicurezza di Android sta monitorando attivamente gli abusi con Verify Apps e SafetyNet, che avviserà l'utente in merito all'installazione di applicazioni potenzialmente dannose rilevate. Gli strumenti di rooting dei dispositivi sono vietati in Google Play. Per proteggere gli utenti che installano applicazioni all'esterno di Google Play, Verifica app è abilitato per impostazione predefinita e avvisa gli utenti delle applicazioni di rooting note. Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation di privilegi. Se tale applicazione è già stata installata, Verifica App avviserà l'utente e tenterà di rimuovere tali applicazioni.
- Se del caso, le applicazioni di Google Hangouts e Messenger non passano automaticamente i media a processi come mediaserver.
Per quanto riguarda le questioni menzionate nel precedente bollettino
Il 18 marzo 2016 Google ha pubblicato un bollettino sulla sicurezza supplementare separato relativo ai problemi del kernel Linux utilizzato su molti telefoni e tablet Android. È stato dimostrato che un exploit nelle versioni 3.4, 3.10 e 3.14 del kernel Linux utilizzato in Android ha permesso di compromettere in modo permanente i dispositivi - rootati, in altre parole - e che i telefoni interessati e altri dispositivi avrebbero richiesto un nuovo flash del sistema operativo per recuperare. Poiché un'applicazione è stata in grado di dimostrare questo exploit, è stato rilasciato un bollettino di metà mese. Google ha anche affermato che i dispositivi Nexus avrebbero ricevuto una patch "entro pochi giorni". Quella patch non si è mai materializzata e Google non fa menzione del perché nell'ultimo bollettino sulla sicurezza.
Il problema - CVE-2015-1805 - è stato completamente corretto nell'aggiornamento della sicurezza del 2 aprile 2016. I rami AOSP per Android versioni 4.4.4, 5.0.2, 5.1.1, 6.0 e 6.0.1 hanno ricevuto questa patch e l'implementazione sull'origine è in corso.
Google menziona inoltre che i dispositivi che potrebbero aver ricevuto una patch datata 1 aprile 2016 non sono stati patchati contro questo particolare exploit e che solo i dispositivi Android con un livello di patch datata 2 aprile 2016 o successivo sono aggiornati.
L'aggiornamento inviato a Verizon Galaxy S6 e Galaxy S6 edge è datato 2 aprile 2016 e contiene queste correzioni.
L'aggiornamento inviato a T-Mobile Galaxy S7 e Galaxy S7 edge è datato 2 aprile 2016 e contiene queste correzioni.
La build AAE298 per i telefoni BlackBerry Priv sbloccati è datata 2 aprile 2016 e contiene queste correzioni. È stato rilasciato a fine marzo 2016.
I telefoni che eseguono una versione del kernel 3.18 non sono interessati da questo particolare problema, ma richiedono comunque le patch per altri problemi risolti nella patch del 2 aprile 2016.
