Google heeft de nieuwste maandelijkse Android-beveiligingsupdate uitgebracht, met volledige details en nieuwe software beschikbaar. De nieuwe datum voor het beveiligingspatchniveau is 1 juni 2016 en wijzigingen in het Android Open Source-project moeten binnen 48 uur worden voltooid en gepubliceerd. Google vertelt ons ook dat partners sinds 2 mei of eerder toegang hebben gehad tot de waarschuwingen in het bulletin van deze maand.
Google zegt dat er geen meldingen zijn geweest van apparaten die actief door deze kwetsbaarheden worden misbruikt.
Deze maand brengt patches voor 21 beveiligingsproblemen, variërend in ernst van kritiek tot matig. Volgens Google is het ernstigste probleem "een kritieke beveiligingslek waardoor externe code op een getroffen apparaat kan worden uitgevoerd via meerdere methoden, zoals e-mail, internetten en mms bij het verwerken van mediabestanden." Het lijkt erop dat de Stagefright-bibliotheek een populair aandachtspunt blijft voor zowel beveiligingsonderzoekers als het beveiligingsteam van Google, waardoor het splitsen van de mediaserver uit de OS-laag en het afzonderlijk bijwerken nog belangrijker is.
Google benadrukt ook (zoals elke maand) dat er geen meldingen zijn geweest van apparaten die actief door deze kwetsbaarheden worden misbruikt, en dat beveiliging op platformniveau en servicebescherming zoals SafetyNet het risico dat ze daadwerkelijk worden getroffen, vrij laag maakt.
Een korte samenvatting:
- Exploitatie voor veel problemen op Android wordt bemoeilijkt door verbeteringen in nieuwere versies van het Android-platform. We moedigen alle gebruikers aan om waar mogelijk bij te werken naar de nieuwste versie van Android.
- Het Android Security-team controleert actief op misbruik met Verify Apps en SafetyNet, die zijn ontworpen om gebruikers te waarschuwen voor mogelijk schadelijke toepassingen. Verify Apps is standaard ingeschakeld op apparaten met Google Mobile Services en is vooral belangrijk voor gebruikers die applicaties van buiten Google Play installeren. Roots voor apparaten zijn verboden binnen Google Play, maar Verify Apps waarschuwt gebruikers wanneer ze proberen een gedetecteerde root-applicatie te installeren, ongeacht waar deze vandaan komt. Bovendien probeert Verify Apps de installatie van bekende kwaadaardige applicaties die misbruik maken van een kwetsbaarheid voor escalatie van privileges, te identificeren en te blokkeren. Als een dergelijke applicatie al is geïnstalleerd, zal Verify Apps de gebruiker op de hoogte stellen en proberen de gedetecteerde applicatie te verwijderen.
- Waar van toepassing geven Google Hangouts- en Messenger-applicaties media niet automatisch door aan processen zoals mediaserver.
Volledige details van alle problemen zijn te vinden op de beveiligingsbulletin-site.
Er is geen melding wanneer de patch voor elk ander Android-apparaat te verwachten is, maar huidige Nexus-apparaten, Android One-telefoons en de Pixel C hebben vanaf vandaag een update die via de ether wordt uitgezonden en deze zou moeten worden uitgerold naar alle apparaten te zijner tijd. Als u het ongeduldige type bent (en zo ja, waarom voert u de Android N Beta niet uit?) Kunt u de fabrieksafbeeldingen flashen die op de ontwikkelaarssite van Google zijn geplaatst.
