Rejtélyes Android frissítés érkezett

​A Google egy nagyon visszafogott áprilisi frissítéssel rukkolt elő az Android operációs rendszer kapcsán, de azért így is van mire figyelni.
 

Ahogy arról a Biztonságportál Prémiumon már beszámoltunk, a Google az Android áprilisi biztonsági frissítései révén mindössze két sebezhetőséget szüntetett meg. Noha általában ennél jóval több hibajavítást szokott elérhetővé tenni a mobil operációs rendszeréhez, azért a mostani foltozgatást sem érdemes lebecsülni. Ennek oka, hogy egy kritikus és egy magas veszélyességi besorolással ellátott sérülékenységet kellett megszüntetniük a fejlesztőknek.
 
Az egyik biztonsági hiba szolgáltatásmegtagadásokat tesz lehetővé, és a Framework összetevőt érinti. E sérülékenység helyi károkozások során válhat kihasználhatóvá, és nem igényel emelt jogosultsági szinten történő műveletvégrehajtást.
 
A második sebezhetőség érdekessége, hogy egyelőre nagyon keveset lehet tudni annak kockázatairól, pedig egy kulcsfontosságú védelmi megoldást érint, nevezetesen a StrongBoxot. Ez a komponens felel egyebek mellett az Android számos kriptográfiai feladataiért, és a biztonságos kulcstárolásért. Alapvetően egy Secure Element chipre épül, amely dedikált processzorral, memóriával és hardveres véletlenszámgenerátorral is rendelkezik.
 
A vállalat a StrongBox sérülékenysége kapcsán egyelőre csak annyit közölt, hogy az magas veszélyességi kategóriába sorolandó, és a Google, az NXP, az STMicroelectronics, valamint a Thales implementációkat is veszélyezteti. (A korábbi StrongBox sérülékenységek leginkább jogosultsági szint emelésre, jogosulatlan adathozzáférésre, illetve szolgáltatásmegtagadásra adtak módot.)