您可能还记得,去年Google承诺通过修补安全漏洞来提高透明度。Google承诺每月提供更新,以修复他们发现影响Nexus设备的所有漏洞。最终,多家OEM厂商开始提供每月的安全补丁程序,最终Nexus安全公告的范围扩大到发现和修补许多一般的Android安全问题。为了反映范围的变化,Google宣布从本月开始,他们已将Nexus安全公告重命名为 Android安全公告。并按照承诺,他们刚刚发布了本月的安全补丁集。
什么是新的
本月,Google已识别并修补了总共 25个安全漏洞。对于已发现漏洞的严重性,将6标记为严重,12标记为高,6标记为中,1标记为低。在这些漏洞中,有25个受影响的Nexus或Android One设备中有24个。到目前为止,由Google修补的最关键的安全问题是影响mediaserver的问题,该问题允许远程执行代码。如果用户以任何方式(通过电子邮件,Web浏览,MMS等)打开了受感染媒体文件的用户,可能会触发代码,以在您不知情或未经您同意的情况下远程执行他们的设备。根据Google的报道,没有任何报道 至少在实际环境中利用了此漏洞。
有关Google发现并修补的所有其他安全漏洞的列表,您可以阅读 5月份的 完整Android安全公告。您会注意到,发现的许多漏洞都是相当广泛的(例如与NVIDIA视频驱动程序或高通的Wi-Fi驱动程序相关的漏洞),并且不仅适用于Google的Nexus设备,因此当您必须接受此更新时,无论您使用哪种设备,都可以尽快使用。
此外,Google强调了SafetyNet和VerifyApps 实施提供的安全性 。每个Google:
通过更新版本的Android平台,对Android上许多问题的利用变得更加困难。鼓励所有用户在可能的情况下更新到最新版本的Android。
Android安全团队使用Verify Apps和SafetyNet主动监视滥用情况,这些警告旨在警告用户有关潜在有害应用程序的信息。默认情况下,在具有Google移动服务的设备上验证应用已启用,对于从Google Play外部安装应用程序的用户而言尤其重要。Google Play禁止使用设备生根工具,但是,Verify Apps在用户尝试安装检测到的生根应用程序时提醒用户,无论它来自何处。此外,Verify Apps尝试识别和阻止利用特权升级漏洞的已知恶意应用程序的安装。如果已经安装了这样的应用程序,Verify Apps将通知用户并尝试删除检测到的应用程序。
在适当的情况下,Google Hangouts和Messenger应用程序不会自动将媒体传递给进程,例如mediaserver。
我何时获得更新?
幸运的是,对于Google Nexus设备所有者而言,您应该很快就可以在设备上看到此更新。像往常一样,此更新会以波浪形式向用户推出,因此您可能会或可能不会立即收到它。 如果您不想等待,总会有工厂映像路线。如果您正在等待自定义ROM实施这些更新,则必须等待更新的源在接下来的2天内放入AOSP。
对于使用其他制造商制造的设备的用户,您的等待时间会有所不同。到2016年4月4日,Google的合作伙伴已收到本公告中发现的这些安全问题的通知,因此OEM拥有充足的时间来修补自己的自定义Android版本以修复这些问题。安全漏洞。您应该期望该更新在本月的某个时候推出,但是请记住,这些更新总是会引起人们的热烈欢迎,OEM希望将自己的功能更新与这些补丁捆绑在一起,这可能会延迟更新。例如,Nextbit Robin在4月27日推出了更新程序,该更新 程序修补了4月安全公告中提到的安全问题。
