Ultimo Boletín de seguridad de Android 2018


Boletín de seguridad de Android: Todo lo que necesita saber!


Aquí podrás ver la fijación de los últimos bugs y exploits en Android cada mes. la seguridad de android en este año.

Google ha detallado el último Boletín de seguridad de Android y lanzado las correcciones para Nexus y Pixel y otros dispositivos.

Estos son exploits y otros problemas de seguridad que afectan a Android en su conjunto. Problemas con el sistema operativo, los parches del kernel, y actualizaciones de controladores no pueden afectar a cualquier dispositivo en particular, pero estos deben ser fijados en la base de Android por las personas que mantienen el código del sistema operativo. Eso significa que Google, ha detallado las cosas que han mejorado durante estos ultimos meses.


Imágenes de fábrica actualizados para los dispositivos Nexus Pixel y que son compatibles están disponibles, y sobre-el-aire actualizaciones están sacando a los usuarios. Si no desea esperar, puede descargar y actualizar la imagen de fábrica o actualización OTA archivo de forma manual, y aquí están algunas instrucciones a mano para ayudarle a empezar.

La compañía que fabrica el teléfono utiliza estos parches para enviar una actualización a tu telefono.

Estos cambios han sido puestos en libertad a los fabricantes de los teléfonos Android durante al menos 30 días, pero Google no puede obligar a nadie a entregarlos a ti. Si estás usando un teléfono de Samsung, LG, u otro, aparte de Google, tendrás que esperar a que vuelvan a enviar una actualización.


Por supuesto, Google tiene controles de seguridad en el sitio para evitar cualquier problema en sus teléfonos de cualquier vulnerabilidades de seguridad.

Verificar aplicaciones con SafetyNet están en el trabajo siempre en cualquier momento antes de agregar una aplicación a tu teléfono, y las actualizaciones sin problemas a Google Play Services para mantenerlos al día, independientemente de cualquier problema que tenga un fabricante o un proveedor.

Aspectos destacados para Septiembre de 2017

El principal problema de este mes gira, una vez más, en torno a una vulnerabilidad en el marco de los medios de comunicación que, cuando se combina con el código de explotación, de forma remota podría ejecutar malware en el dispositivo del usuario.

Algunos de estos parches se remontan a Android 4.4 KitKat. Un error de tiempo de ejecución ha sido parcheado que permitiría a un usuario remoto ejecutar código que podría causar que una aplicación se pueda colgar.

Broadcom ha emitido una vez más una serie de parches para sus conductores de conexión Wi-Fi. MediaTek y Qualcomm tienen cada parche para un número de conductores que podría permitir a un atacante remoto ejecutar código.

Si usted recibe una actualización con una fecha de 05/09/2017 con este parche se solucionan todos los temas abordados por la actualización 09/01/2017 Anterior.


Aquí están los resúmenes y los aspectos más destacados de los últimos parches de la publicación mensual del boletín de seguridad de Android. Al igual que con el boletín actual, estas cuestiones también fueron mitigadas por Google para Verificar aplicaciones, la red de seguridad, y actualizaciones sin fisuras a servicios de Google Play.

Aspectos destacados para Agosto de 2017

Un problema moderado en el tiempo de ejecución de Android que podría permitir la ejecución de código privlidged ha sido parcheado.

Una vez más vemos numerosas cuestiones que podrían permitir la ejecución remota de código a través de las bibliotecas de medios parcheado, con algunos cambios que se remonta a Android 4.4.

Qualcomm ha parcheado numerosas escaladas de problemas de privilegios en la plataforma Snapdragon. Estos incluyen parches de vulnerabilidad moderada para video, la GPU y entrada USB / salida. Ya que estos incluyen cambios de código cerrado, las nuevas versiones están disponibles de Qualcomm para el fabricante del dispositivo para poner en práctica, según sea necesario. MediaTek y Broadcom también han suministrado los controladores de dispositivos parcheado para una serie de emisiones calificadas de bajo a moderado.

Cualquiera de estos binarios que son aplicables al nexo o dispositivos de píxeles disponibles en el sitio para desarrolladores de Google.

Si recibes una actualización con una fecha de 05/08/2017 es un parche, que tiene todos los temas abordados por la actualización 08/01/2017 Anterior.

Seguridad

Android incorpora funciones de seguridad líderes en la industria y trabaja con desarrolladores e implementadores de dispositivos para mantener la plataforma Android y el ecosistema seguros. Un modelo de seguridad robusto es esencial para permitir un ecosistema vigoroso de aplicaciones y dispositivos construidos en y alrededor de la plataforma Android y soportados por servicios en la nube. Como resultado, a lo largo de todo su ciclo de desarrollo, Android ha estado sujeto a un riguroso programa de seguridad.

Android está diseñado para ser abierto . Las aplicaciones de Android usan hardware y software avanzados, así como también datos locales y servidos, expuestos a través de la plataforma para brindar innovación y valor a los consumidores. Para darse cuenta de ese valor, la plataforma ofrece un entorno de aplicaciones que protege la confidencialidad, la integridad y la disponibilidad de los usuarios, los datos, las aplicaciones, el dispositivo y la red.

Asegurar una plataforma abierta requiere una sólida arquitectura de seguridad y rigurosos programas de seguridad. Android se diseñó con seguridad multicapa que es lo suficientemente flexible como para admitir una plataforma abierta y, al mismo tiempo, protege a todos los usuarios de la plataforma. Para obtener información sobre cómo informar problemas de seguridad y el proceso de actualización, vea Actualizaciones y recursos de seguridad .

Android está diseñado para desarrolladores . Los controles de seguridad fueron diseñados para reducir la carga de los desarrolladores. Los desarrolladores expertos en seguridad pueden trabajar fácilmente y confiar en controles de seguridad flexibles. Los desarrolladores menos familiarizados con la seguridad estarán protegidos por los valores predeterminados de seguridad.

Además de proporcionar una plataforma estable sobre la que construir, Android brinda soporte adicional a los desarrolladores de varias maneras. El equipo de seguridad de Android busca posibles vulnerabilidades en las aplicaciones y sugiere formas de solucionarlos. Para dispositivos con Google Play, Play Services ofrece actualizaciones de seguridad para bibliotecas de software críticas, como OpenSSL, que se usa para proteger las comunicaciones de aplicaciones. La seguridad de Android lanzó una herramienta para probar SSL ( nogotofail ) que ayuda a los desarrolladores a encontrar posibles problemas de seguridad en cualquier plataforma que estén desarrollando.

Se puede encontrar más información para los desarrolladores de aplicaciones de Android en developer.android.com .

Android está diseñado para usuarios . Los usuarios reciben visibilidad de los permisos solicitados por cada aplicación y controlan esos permisos. Este diseño incluye la expectativa de que los atacantes intenten realizar ataques comunes, como los ataques de ingeniería social para convencer a los usuarios de dispositivos de que instalen malware y ataques a aplicaciones de terceros en Android. Android fue diseñado tanto para reducir la probabilidad de estos ataques como para limitar en gran medida el impacto del ataque en caso de que fuera exitoso.

La seguridad de Android continúa progresando una vez que el dispositivo está en manos del usuario: Android trabaja con socios y el público para proporcionar parches para cualquier dispositivo Android que continúe recibiendo actualizaciones de seguridad.

Más información para los usuarios finales se puede encontrar en el centro de ayuda de Nexus , centro de píxeles ayuda , o centro de asistencia del fabricante del dispositivo.

Esta documentación describe los objetivos del programa de seguridad de Android, describe los fundamentos de la arquitectura de seguridad de Android y responde las preguntas más pertinentes para los arquitectos de sistemas y los analistas de seguridad. Se centra en las características de seguridad de la plataforma central de Android y no analiza los problemas de seguridad que son exclusivos de aplicaciones específicas, como las relacionadas con el navegador o la aplicación de SMS.
Fondo

Android proporciona una plataforma de fuente abierta y un entorno de aplicaciones para dispositivos móviles.

Las secciones y páginas a continuación describen las características de seguridad de la plataforma Android. La Figura 1 resume los componentes de seguridad y las consideraciones de los distintos niveles de la pila de software de Android. Cada componente asume que los componentes a continuación están asegurados adecuadamente. Con la excepción de una pequeña cantidad de código del sistema operativo Android que se ejecuta como raíz, todo el código que está sobre el Kernel de Linux está restringido por Application Sandbox.

Figura 1 . Pila de software de Android.

Los principales bloques de construcción de la plataforma Android son:
Hardware del dispositivo : Android se ejecuta en una amplia gama de configuraciones de hardware, incluidos teléfonos inteligentes, tabletas, relojes, automóviles, televisores inteligentes, cajas de juegos OTT y decodificadores. Android es independiente del procesador, pero aprovecha algunas capacidades de seguridad específicas del hardware, como ARM eXecute-Never.

Sistema operativo Android : el sistema operativo central se basa en el kernel de Linux. Se accede a todos los recursos del dispositivo, como funciones de la cámara, datos de GPS, funciones de Bluetooth, funciones de telefonía, conexiones de red, etc. a través del sistema operativo.

Android Application Runtime : las aplicaciones de Android se escriben con mayor frecuencia en el lenguaje de programación Java y se ejecutan en el tiempo de ejecución de Android (ART). Sin embargo, muchas aplicaciones, incluidos los servicios y aplicaciones centrales de Android, son aplicaciones nativas o incluyen bibliotecas nativas.

Tanto ART como las aplicaciones nativas se ejecutan dentro del mismo entorno de seguridad, contenido dentro de Application Sandbox. Las aplicaciones obtienen una parte dedicada del sistema de archivos en la que pueden escribir datos privados, incluidas bases de datos y archivos sin formato.

Las aplicaciones de Android extienden el sistema operativo central de Android. Hay dos fuentes principales para las aplicaciones

Aplicaciones preinstaladas : Android incluye un conjunto de aplicaciones preinstaladas que incluyen teléfono, correo electrónico, calendario, navegador web y contactos. Funcionan tanto como aplicaciones de usuario como para proporcionar capacidades de dispositivo clave a las que pueden acceder otras aplicaciones. Las aplicaciones preinstaladas pueden ser parte de la plataforma de código abierto de Android, o pueden ser desarrolladas por un fabricante de dispositivos para un dispositivo específico.

Aplicaciones instaladas por el usuario : Android proporciona un entorno de desarrollo abierto que admite cualquier aplicación de terceros. Google Play ofrece a los usuarios cientos de miles de aplicaciones.

Servicios de seguridad de Google

Google proporciona un conjunto de servicios basados ​​en la nube que están disponibles para dispositivos Android compatibles con Google Mobile Services . Si bien estos servicios no son parte del Proyecto de Código Abierto de Android, están incluidos en muchos dispositivos Android. Para obtener más información sobre algunos de estos servicios, consulte el año fiscal 2017 d Android Security .

Los principales servicios de seguridad de Google son:
Google Play : Google Play es una colección de servicios que permiten a los usuarios descubrir, instalar y comprar aplicaciones desde su dispositivo Android o la web. Google Play facilita que los desarrolladores lleguen a usuarios de Android y clientes potenciales. Google Play también proporciona revisión de la comunidad, verificación de la licencia de la aplicación, escaneo de seguridad de la aplicación y otros servicios de seguridad.
Actualizaciones de Android : el servicio de actualización de Android ofrece nuevas capacidades y actualizaciones de seguridad para dispositivos Android seleccionados, incluidas las actualizaciones a través de la web o por aire (OTA).
Servicios de aplicaciones : marcos que permiten que las aplicaciones de Android utilicen capacidades de la nube, como ( copia de seguridad ) de datos y configuraciones de aplicaciones, y mensajes de nube a dispositivo ( C2DM ) para enviar mensajes de texto.
Verificar aplicaciones : advierte o bloquea automáticamente la instalación de aplicaciones dañinas y escanea continuamente aplicaciones en el dispositivo, advirtiendo sobre o eliminando aplicaciones dañinas.
SafetyNet : Un sistema de detección de intrusos que preserva la privacidad para ayudar a Google a rastrear y mitigar amenazas de seguridad conocidas, además de identificar nuevas amenazas a la seguridad.
Certificación de SafetyNet : API de terceros para determinar si el dispositivo es compatible con CTS. La certificación también puede ayudar a identificar la aplicación de Android que se comunica con el servidor de la aplicación.
Android Device Manager : una aplicación web y una aplicación de Android para localizar dispositivos perdidos o robados.

Descripción general del programa de seguridad

Los componentes clave del Programa de seguridad de Android incluyen:
Revisión del diseño : el proceso de seguridad de Android comienza temprano en el ciclo de vida del desarrollo con la creación de un modelo y diseño de seguridad rico y configurable. Cada característica principal de la plataforma es revisada por recursos de ingeniería y seguridad, con controles de seguridad adecuados integrados en la arquitectura del sistema.

Pruebas de penetración y revisión de código : durante el desarrollo de la plataforma, los componentes creados y creados por Android están sujetos a revisiones de seguridad vigorosas. Estas revisiones son realizadas por el equipo de seguridad de Android, el equipo de ingeniería de seguridad de la información de Google y consultores de seguridad independientes. El objetivo de estas revisiones es identificar las debilidades y las posibles vulnerabilidades mucho antes de las versiones principales, y simular los tipos de análisis que realizarán los expertos de seguridad externos al momento de la publicación.

Revisión de fuente abierta y de la comunidad : el Proyecto de Código Abierto de Android permite una amplia revisión de seguridad por parte de cualquier parte interesada. Android también utiliza tecnologías de código abierto que han sido sometidas a importantes revisiones de seguridad externas, como el kernel de Linux. Google Play brinda un foro para que los usuarios y las empresas brinden información sobre aplicaciones específicas directamente a los usuarios.


Respuesta a incidentes : incluso con todas estas precauciones, pueden surgir problemas de seguridad después del envío, razón por la cual el proyecto Android ha creado un proceso integral de respuesta de seguridad. Los miembros del equipo de seguridad de Android a tiempo completo supervisan a la comunidad de seguridad general específica de Android para analizar las posibles vulnerabilidades y revisarlos errores de seguridad registrados en la base de datos de errores de Android.

Tras el descubrimiento de problemas legítimos, el equipo de Android tiene un proceso de respuesta que permite la mitigación rápida de las vulnerabilidades para garantizar que se minimice el riesgo potencial para todos los usuarios de Android. Estas respuestas soportadas en la nube pueden incluir la actualización de la plataforma Android (actualizaciones inalámbricas), la eliminación de aplicaciones de Google Play y la eliminación de aplicaciones de dispositivos en el campo.

Actualizaciones de seguridad mensuales : el equipo de seguridad de Android proporciona actualizaciones mensuales a los dispositivos Google Nexus y a todos nuestros socios de fabricación de dispositivos.


Arquitectura de seguridad de la plataforma

Android busca ser el sistema operativo más seguro y utilizable para las plataformas móviles redirigiendo los controles de seguridad del sistema operativo tradicional a:
Proteger la aplicación y los datos del usuario
Proteger los recursos del sistema (incluida la red)
Proporcionar aislamiento de aplicaciones del sistema, otras aplicaciones y del usuario

Para lograr estos objetivos, Android proporciona estas características de seguridad clave:
Seguridad sólida en el nivel del sistema operativo a través del kernel de Linux
Cajón de arena de aplicación obligatorio para todas las aplicaciones
Comunicación segura entre procesos
Firma de aplicación
Permisos definidos por la aplicación y otorgados por el usuario

Archivos de todos los boletines de seguridad de Android están disponibles en el sitio web de seguridad de Android. todo lo que quieras saber.

Tal vez te interese leer:
cuanta memoria ram necesita tu celular
Consejos ahorro de de bateria android
mejor gamepad para samsung gear vr
Como usar Pandora premium
13 trucos para android que debes conocer
Como utilizar los paquetes de iconos de tu launcher
Google y la plataforma rcs
mejores reproductores musica android