Índice:
O Google divulgou os detalhes sobre o patch de segurança de 2 de abril para Android, atenuando completamente os problemas descritos em um boletim há algumas semanas, bem como uma série de outras questões críticas e moderadas. Este é um pouco diferente dos boletins anteriores, com atenção especial à vulnerabilidade de escalação de privilégios nas versões 3.4, 3.10 e 3.14 do kernel Linux usado no Android. Discutiremos isso mais abaixo na página. Enquanto isso, aqui está o detalhamento do que você precisa saber sobre o patch deste mês.
Imagens de firmware atualizadas agora estão disponíveis para dispositivos Nexus atualmente compatíveis no site do desenvolvedor do Google. O Android Open Source Project agora tem essas alterações nos ramos relevantes e tudo estará completo e sincronizado em 48 horas. As atualizações over the air estão em andamento nos telefones e tablets Nexus atualmente suportados e seguirão o procedimento padrão de lançamento do Google - pode levar uma semana ou duas para chegar ao seu Nexus. Todos os parceiros - ou seja, as pessoas que construíram seu telefone, independentemente da marca - tiveram acesso a essas correções a partir de 16 de março de 2016, e anunciam e corrigem dispositivos em suas próprias agendas individuais.
O problema mais grave solucionado é uma vulnerabilidade que pode permitir a execução remota de código ao processar arquivos de mídia. Esses arquivos podem ser enviados para o telefone por qualquer meio - email, MMS de navegação na web ou mensagens instantâneas. Outros problemas críticos corrigidos são específicos para o cliente DHCP, o Módulo de desempenho da Qualcomm e o driver de RF. Essas explorações podem permitir a execução de código que comprometa permanentemente o firmware do dispositivo, forçando o usuário final a atualizar novamente o sistema operacional completo - se "as atenuações de plataforma e serviço estiverem desativadas para propostas de desenvolvimento". É o nerd de segurança que fala para permitir a instalação de aplicativos de fontes desconhecidas e / ou para o desbloqueio do OEM.
Outras vulnerabilidades corrigidas também incluem métodos para contornar a Factory Reset Protection, problemas que podem ser explorados para permitir ataques de negação de serviço e problemas que permitem a execução de código em dispositivos com raiz. Os profissionais de TI também terão prazer em ver problemas de email e do ActiveSync que podem permitir o acesso a informações "confidenciais" corrigidas nesta atualização.
Como sempre, o Google também nos lembra que não houve relatos de usuários afetados por esses problemas, e eles têm um procedimento recomendado para ajudar a impedir que os dispositivos sejam vítimas desses e de futuros problemas:
- A exploração de muitos problemas no Android é dificultada por aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe do Android Security está monitorando ativamente os abusos com Verify Apps e SafetyNet, que alertam o usuário sobre os aplicativos potencialmente perigosos detectados que estão prestes a serem instalados. As ferramentas de root do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é ativado por padrão e avisa os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se esse aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover esses aplicativos.
- Conforme apropriado, os aplicativos Google Hangouts e Messenger não transmitem automaticamente a mídia para processos como o servidor de mídia.
Em relação às questões mencionadas no boletim anterior
Em 18 de março de 2016, o Google publicou um boletim de segurança suplementar separado sobre problemas no kernel do Linux usado em muitos telefones e tablets Android. Foi demonstrado que uma exploração nas versões 3.4, 3.10 e 3.14 do kernel Linux usada no Android permitia que os dispositivos estivessem comprometidos permanentemente - enraizados, em outras palavras - e os telefones e outros dispositivos afetados exigiriam uma nova atualização do sistema operacional para recuperar. Como um aplicativo conseguiu demonstrar essa exploração, um boletim no meio do mês foi lançado. O Google também mencionou que os dispositivos Nexus receberiam um patch "dentro de alguns dias". Esse patch nunca se materializou, e o Google não menciona o porquê no boletim de segurança mais recente.
O problema - CVE-2015-1805 - foi corrigido completamente na atualização de segurança de 2 de abril de 2016. As ramificações do AOSP para as versões 4.4.4, 5.0.2, 5.1.1, 6.0 e 6.0.1 do Android receberam esse patch e o lançamento para a fonte está em andamento.
O Google também menciona que os dispositivos que podem ter recebido um patch datado de 1 de abril de 2016 não foram corrigidos contra essa exploração específica, e apenas os dispositivos Android com nível de patch datado de 2 de abril de 2016 ou posterior são atuais.
A atualização enviada para a borda do Verizon Galaxy S6 e Galaxy S6 é de 2 de abril de 2016 e contém essas correções.
A atualização enviada para a borda do T-Mobile Galaxy S7 e Galaxy S7 está datada de 2 de abril de 2016 e contém essas correções.
A compilação AAE298 para telefones BlackBerry Priv desbloqueados é datada de 2 de abril de 2016 e contém essas correções. Foi lançado no final de março de 2016.
Os telefones executando uma versão do kernel 3.18 não são afetados por esse problema específico, mas ainda exigem os patches para outros problemas abordados no patch de 2 de abril de 2016.
