Probleem Google ontdekt ernstige Android-beveilingsrisico

Abraham54

Administrator
Team lid
Google-beveiligingsonderzoekers melden een ernstige kwetsbaarheid in
Android. Dit heeft gevolgen voor apparatuur van veel fabrikanten.




Veiligheidsonderzoekers van Google van Project Zero ontdekten vorige week een ernstige kwetsbaarheid in Android
die aanvallers roottoegang tot aangevallen Android smartphones toestaat. Er is al actief gebruik gemaakt van de
kwetsbaarheid en er is besloten om de details nu openbaar te maken.

"We hebben bewijs dat deze fout in het wild wordt gebruikt.... Daarom is deze fout onderworpen aan een periode
van zeven dagen voor de informatieverschaffing. Na 7 dagen, of als een patch al beschikbaar is gesteld aan de massa
van gebruikers (wat eerder is), wordt het bugrapport zichtbaar voor het publiek," zegt de bug entry.

Na het verstrijken van de eerste zeven dagen (en er zijn nog geen patches beschikbaar) is de kwetsbaarheidsinformatie
op vrijdag openbaar gemaakt. De beveiligingsexperts van Google vermoeden dat de kwetsbaarheid onder andere door
de Israëlische NSO-groep wordt gebruikt. De groep verkoopt tools aan overheidsorganisaties om toegang te krijgen
tot iOS- en Android-apparaten.

Volgens Google zijn de Pixel 2 en een aantal populaire apparaten van andere leveranciers getroffen.
Specifiek betrokken:
  1. Pixel 2 met Android 9 en Android 10
  2. Huawei P20
  3. Xiaomi Redmi 5A
  4. Xiaomi Redmi Note 5
  5. Xiaomi A1
  6. Oppo A3
  7. Moto Z3
  8. Oreo LG Smartphones
  9. Samsung S7, S8, S9
Enigszins gênant voor Google: de kwetsbaarheid is niet nieuw en werd al in december 2017 in de kernel van Android
opgelost. Uiteraard is dit niet grondig genoeg gedaan, want in recentere kernelversies van Android is de kwetsbaarheid
opnieuw opgenomen.

Volgens onderzoekers van Google moet echter eerst een app van een onbetrouwbare bron op de betrokken apparaten
worden geïnstalleerd en pas dan kunnen de aanvallers volledige toegang krijgen tot een smartphone.

Alle betrokken fabrikanten zijn door Google op de hoogte gebracht.
Google zelf zal in oktober de leemte opvullen met de Android-beveiligingsupdates voor pixel 1 en pixel 2.
Voor pixel 3 en pixel 3a zijn geen maatregelen nodig.
 
Bovenaan Onderaan