Google heeft tijdens de Android-patchcyclus van april 28 lekken gedicht, waaronder één kritieke. Dit lek maakt telefoons met Qualcomm-chipsets vatbaar voor aanvallen op afstand. Een andere kwetsbaarheid met hoge prioriteit zit in de eigen code van Android en maakte het voor kwaadwillende apps mogelijk om zonder interactie van de gebruiker hun rechten te verhogen.
Via die laatste kwetsbaarheid zouden dergelijke apps toegang krijgen tot gegevens of handelingen kunnen uitvoeren buiten hun normale bereik. Google classificeert de impact van dit lek als ‘hoog’, zo meldt security.nl. Beide kwetsbaarheden staan ook vermeld in Google’s eigen securitybulletin van april.
Buffer overflow veroorzaken
Het kritieke lek in Android-toestellen met een Qualcomm-chipset betreft een beveiligingsfout in de datamodem. Hierdoor kan een aanvaller tijdens de verificatie van een DTLS protocol handshake een buffer overflow veroorzaken. Dit maakt het uitvoeren van code mogelijk, zogeheten code injection. De ernst van dit lek, dat de code CVE-2023-28582 heeft gekregen, wordt beoordeeld met een 9.8 van 10 op de CVSS-kwetsbaarheidsschaal. Deze kwetsbaarheid is opgenomen in het eigen security-bulletin van Quallcomm.
Google verhelpt niet alleen fouten in de code van hun eigen Android-besturingssysteem, maar ook in componenten van chipfabrikanten zoals Qualcomm en MediaTek. Ook het door Google ontwikkelde DRM-systeem Widevine ontvangt de updates. Het bedrijf hanteert daarbij specifieke datums. Toestellen die de april-updates ontvangen, hebben patchniveaus van ‘2024-04-01’ of ‘2024-04-05’.
Fabrikanten moeten alle patches van het Android-bulletin van april toevoegen aan hun eigen updates en deze beschikbaar stellen aan hun gebruikers. Deze updates zijn beschikbaar voor Android 12, 12L, 13 en 14.
Vergelijkbaar met lek uit januari
Bij de Android beveiligingsupdate van januari patchte Google een vergelijkbare kwetsbaarheid die zich voordeed bij telefoons met de Qualcomm-chip. Dit lek zat eveneens in de datamodem en betrof net als het meest recente lek het gevaar dat telefoons op afstand konden worden aangevallen via code insertion bij een buffer overflow.
Google meldt dat fabrikanten minstens een maand geleden op de hoogte zijn gesteld van de kwetsbaarheden, maar zoals altijd is het niet gegarandeerd dat alle Androidtoestellen de updates tijdig zullen ontvangen. Dit vanwege gestopte ondersteuning door fabrikanten of een vertraagde uitrol van de updates.
Lees ook: Tweede preview Android 15 biedt features voor satellietcommunicatie