Google ha lanzado la última actualización mensual de seguridad de Android, con todos los detalles y el nuevo software disponible. La nueva fecha de Nivel de parche de seguridad es el 1 de junio de 2016, y los cambios en el Proyecto de código abierto de Android deben finalizar y publicarse dentro de las 48 horas. Google también nos dice que los socios han tenido acceso a las advertencias en el boletín de este mes desde el 2 de mayo o antes.
Google dice que no ha habido informes de ningún dispositivo explotado activamente por estas vulnerabilidades.
Este mes trae parches para 21 vulnerabilidades de seguridad, que varían en gravedad de crítica a moderada. Según Google, el problema más grave es "una vulnerabilidad de seguridad crítica que podría permitir la ejecución remota de código en un dispositivo afectado a través de múltiples métodos como correo electrónico, navegación web y MMS al procesar archivos multimedia". Parece que la biblioteca Stagefright sigue siendo un foco popular para los investigadores de seguridad, así como para el equipo de seguridad de Google, lo que hace que dividir el servidor de medios fuera de la capa del sistema operativo y actualizarlo por separado en Android N sea aún más importante.
Google también enfatiza (como lo hace cada mes) que no ha habido ningún informe de ningún dispositivo explotado activamente por estas vulnerabilidades, y que las protecciones de seguridad a nivel de plataforma y las protecciones de servicio como SafetyNet hacen que el riesgo de verse afectado sea realmente bajo.
Un resumen rápido:
- La explotación de muchos problemas en Android se hace más difícil por las mejoras en las versiones más recientes de la plataforma Android. Alentamos a todos los usuarios a actualizar a la última versión de Android cuando sea posible.
- El equipo de seguridad de Android monitorea activamente el abuso con Verify Apps y SafetyNet, que están diseñadas para advertir a los usuarios sobre aplicaciones potencialmente dañinas. Verify Apps está habilitado de forma predeterminada en dispositivos con Google Mobile Services, y es especialmente importante para los usuarios que instalan aplicaciones desde fuera de Google Play. Las herramientas de rooteo de dispositivos están prohibidas en Google Play, pero Verify Apps advierte a los usuarios cuando intentan instalar una aplicación de rooteo detectada, sin importar de dónde provenga. Además, Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de escalada de privilegios. Si dicha aplicación ya se ha instalado, Verify Apps notificará al usuario e intentará eliminar la aplicación detectada.
- Según corresponda, las aplicaciones Google Hangouts y Messenger no pasan automáticamente los medios a procesos como el servidor de medios.
Los detalles completos de la dirección de todos los problemas se pueden encontrar en el sitio del boletín de seguridad.
No se sabe cuándo esperar el parche para cualquier otro dispositivo con Android, pero los dispositivos Nexus actuales, los teléfonos Android One y el Pixel C tienen una actualización que se lanzará por el aire a partir de hoy, y debería implementarse para Todos los dispositivos a su debido tiempo. Si eres del tipo impaciente (y si es así, ¿por qué no estás ejecutando Android N Beta?), Puedes mostrar las imágenes de fábrica publicadas en el sitio para desarrolladores de Google.
