Google Android Nexus Security Bulletin uchun xavfsizlik yangilanishini chiqardi – 2016 yil yanvar, bu mobil operatsion tizimdagi 12 ta zaiflikni yopadi. Ruxsat etilgan zaifliklardan biri CVE-2015-6636 (Mediaserverda masofaviy kodni bajarish zaifligi) masofaviy kod ijrosi (RCE) turiga tegishli bo’lib, tajovuzkorlarga zararli media fayli yordamida Androidda yuqori huquqlarga ega kodni masofadan turib bajarishga imkon beradi. Ushbu faylni yetkazib berish uchun MMS xabari yoki brauzerning fishing veb-resursidan foydalanish mumkin. Yana to’rtta muhim zaifliklar Elevation of Privilege (EoP) turiga tegishli bo’lib, tajovuzkorlarga tizimdagi o’z kodlarining imtiyozlarini OT yadrosi darajasiga ko’tarish imkonini beradi.
Qolgan ikkita zaiflik Oliy turdagi bo’lib, ulardan biri Bluetooth komponentidagi CVE-2015-6641 tajovuzkorga qurilmaga simsiz ulanish va foydalanuvchining shaxsiy ma’lumotlariga kirish imkonini beradi. Yadrodagi yana bir CVE-2015-6642 ma’lumotni oshkor qilish zaifligi Android-ning o’rnatilgan xavfsizlik mexanizmlarini chetlab o’tish va tizimda yuqori imtiyozlarga ega bo’lish imkonini beradi.
Yangilanish MediaTek drayverlari (har xil SD drayveri) va Imagination Technologies, shuningdek, Widevine QSEE TrustZone yadrosi va ilovasidagi muhim EoP zaifliklarini tuzatadi. Ushbu komponentlarning barchasidagi zaifliklar tajovuzkorlarga tizimdagi eng yuqori huquqlarni qo’lga kiritish imkonini beradi. Qolgan zaifliklar o’rtacha turdagi. Bu shuni ko’rsatadiki, tajovuzkor ulardan foydalangan holda foydalanuvchi qurilmasiga jiddiy zarar yetkaza olmaydi.
Google shuningdek, Android 6’ni Nexus yadrolari uchun hujum sirtini kamaytirish deb nomlangan yangi xavfsizlik funksiyasini taqdim etdi. Chiqarilgan yangilanish OTdan SysV IPC deb nomlangan jarayonlararo aloqa mexanizmini olib tashlaydi, Google ma’lumotlariga ko’ra, u zararli ilovalar tomonidan o’z maqsadlarida foydalaniladi va muhim OT xususiyatlarini qo’shmaydi. Uni qo’llab-quvvatlash, shuningdek, boshqa Android ilovalarining hayot aylanishiga, shuningdek, iste’mol qilinadigan katta miqdordagi yadro resurslariga mos kelmaydi.
