Google ha rilasciato l'ultimo aggiornamento mensile di sicurezza per Android, con tutti i dettagli e il nuovo software disponibili. La nuova data del livello di patch di sicurezza è il 1 giugno 2016 e le modifiche al progetto Open Source Android dovrebbero essere completate e pubblicate entro 48 ore. Google ci informa inoltre che i partner hanno avuto accesso agli avvisi nel bollettino di questo mese dal 2 maggio o prima.
Google afferma che non sono stati segnalati zero i dispositivi sfruttati attivamente da queste vulnerabilità.
Questo mese porta patch per 21 vulnerabilità di sicurezza, che vanno da critiche a moderate. Secondo Google, il problema più grave è "una vulnerabilità di sicurezza critica che potrebbe consentire l'esecuzione di codice in modalità remota su un dispositivo interessato attraverso più metodi come e-mail, navigazione Web e MMS durante l'elaborazione di file multimediali". Sembra che la libreria Stagefright continui a essere un obiettivo popolare per i ricercatori della sicurezza e per il team di sicurezza di Google, il che rende ancora più importante la suddivisione del media server dal livello del sistema operativo e l'aggiornamento separato in Android N.
Google sottolinea inoltre (come ogni mese) che non vi sono state segnalazioni zero di dispositivi sfruttati attivamente da queste vulnerabilità e che le protezioni di sicurezza a livello di piattaforma e le protezioni di servizio come SafetyNet corrono il rischio di essere effettivamente colpite alquanto basse.
Un breve riassunto:
- Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle nuove versioni della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android ove possibile.
- Il team di sicurezza di Android monitora attivamente gli abusi con Verify Apps e SafetyNet, progettati per avvisare gli utenti di applicazioni potenzialmente dannose. Verifica che le app siano abilitate per impostazione predefinita sui dispositivi con Google Mobile Services ed è particolarmente importante per gli utenti che installano applicazioni al di fuori di Google Play. Gli strumenti di rooting dei dispositivi sono vietati in Google Play, ma Verifica App avvisa gli utenti quando tentano di installare un'applicazione di rooting rilevata, indipendentemente da dove provenga. Inoltre, Verifica App tenta di identificare e bloccare l'installazione di applicazioni dannose note che sfruttano una vulnerabilità di escalation di privilegi. Se tale applicazione è già stata installata, Verifica App avviserà l'utente e tenterà di rimuovere l'applicazione rilevata.
- Se del caso, le applicazioni di Google Hangouts e Messenger non passano automaticamente i media a processi come mediaserver.
I dettagli completi di tutti gli indirizzi dei problemi sono disponibili sul sito del bollettino sulla sicurezza.
Non si sa quando aspettarsi la patch per qualsiasi altro dispositivo Android, ma gli attuali dispositivi Nexus, i telefoni Android One e il Pixel C hanno un aggiornamento che spinge via wireless a partire da oggi e dovrebbe essere implementato su tutti i dispositivi a tempo debito. Se sei un tipo impaziente (e in tal caso, perché non esegui Android N Beta?) Puoi visualizzare le immagini di fabbrica pubblicate sul sito per sviluppatori di Google.
