Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: Androidtelefoons door kritiek beveiligingslek op afstand over te nemen

dinsdag 21 juni 2022

Tijdens de maandelijkse patchcyclus voor Android heeft Google meerdere kritieke kwetsbaarheden verholpen waardoor het mogelijk is om Androidtelefoons op afstand over te nemen. De beveiligingslekken, aangeduid als CVE-2022-20130 en CVE-2022-20127 bevinden zich in het Android framework en system en laten een aanvaller op afstand code op telefoons uitvoeren zonder dat hier verdere uitvoerrechten voor zijn vereist.

Verdere details over beide beveiligingslekken, zoals hoe er misbruik van kan worden gemaakt, zijn niet door Google gegeven. In totaal heeft Google deze maand voor 41 kwetsbaarheden in Android updates uitgerold. Daarnaast is het bedrijf met updates voor de eigen Pixel-telefoons gekomen. In de modemsoftware van deze toestellen bevinden zich vier kritieke kwetsbaarheden die remote code execution mogelijk maken.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de juni-updates ontvangen zullen '2022-06-01' of '2022-06-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van juni aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.