O Google lançou a última atualização de segurança mensal do Android, com todos os detalhes e novos softwares disponíveis. A nova data do nível do patch de segurança é 1º de junho de 2016 e as alterações no Android Open Source Project devem ser concluídas e publicadas em 48 horas. O Google também nos diz que os parceiros tiveram acesso aos avisos no boletim deste mês desde 2 de maio ou antes.
O Google diz que não há relatos de nenhum dispositivo explorado ativamente por essas vulnerabilidades.
Este mês traz correções para 21 vulnerabilidades de segurança, variando em gravidade, de críticas a moderadas. Segundo o Google, o problema mais grave é "uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado por meio de vários métodos, como email, navegação na Web e MMS ao processar arquivos de mídia". Parece que a biblioteca Stagefright continua sendo um foco popular para pesquisadores de segurança e para a equipe de segurança do Google, o que torna ainda mais importante a divisão do servidor de mídia da camada do SO e a atualização separadamente no Android N.
O Google também enfatiza (como ocorre todo mês) que não existem relatórios de nenhum dispositivo explorado ativamente por essas vulnerabilidades, e que as proteções de segurança no nível da plataforma e as proteções de serviço como o SafetyNet correm o risco de serem realmente afetadas.
Um resumo rápido:
- A exploração de muitos problemas no Android é dificultada por aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe do Android Security monitora ativamente os abusos com Verify Apps e SafetyNet, projetados para alertar os usuários sobre aplicativos potencialmente prejudiciais. A opção Verificar aplicativos está ativada por padrão em dispositivos com o Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play. As ferramentas de root de dispositivos são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de root detectado, independentemente de sua origem. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos maliciosos conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se esse aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
- Conforme apropriado, os aplicativos Google Hangouts e Messenger não transmitem automaticamente a mídia para processos como o servidor de mídia.
Detalhes completos de todos os endereços de problemas podem ser encontrados no site do boletim de segurança.
Não há informações sobre quando esperar o patch para qualquer outro dispositivo equipado com Android, mas os dispositivos Nexus atuais, os telefones Android One e o Pixel C têm uma atualização lançada no ar a partir de hoje e deve ser lançada para todos os dispositivos no devido tempo. Se você é do tipo impaciente (e se sim, por que não está executando o Android N Beta?), Pode exibir as imagens de fábrica publicadas no site do desenvolvedor do Google.
