Google heeft opnieuw een groot aantal Androidlekken in de eigen Nexustoestellen gedicht, waarmee het recordaantal van vorige maand alweer is gepasseerd. In april kwam Google met updates voor 39 kwetsbaarheden. Deze maand zijn er echter 40 beveiligingslekken verholpen.

Twaalf van de 40 kwetsbaarheden zijn als ernstig aangemerkt. Via ernstige beveiligingslekken kan een aanvaller in het ergste geval het toestel op afstand overnemen. Dit zou op verschillende manieren kunnen, waaronder het openen van een e-mail, het bezoeken van websites of het verwerken van mediabestanden die via mms worden verstuurd. De ernstige kwetsbaarheden zijn aanwezig in Mediaserver, Debuggerd, Qualcomm TrustZone, Qualcomm wifi, Nvidia-videodriver en de Androidkernel.

Wederom zijn er ernstige kwetsbaarheden in Mediaserver verholpen. Een onderdeel waar bijna elke maand updates voor verschijnen. Een aanvaller zou hier via mms-berichten, de browser of kwaadaardige mediabestanden misbruik van kunnen maken. Vervolgens is het mogelijk om willekeurige code in het Mediaserverproces uit te voeren. Mediaserver heeft toegang tot audio- en videostreams en rechten waar third-party apps normaal geen toegang toe hebben.

Verder zijn ook de ernstige beveiligingslekken in de Nvidia-videodriver, Debuggerd, Qualcomm TrustZone Qualcomm wifi-driver en Androidkernel het vermelden waard. Hierdoor kan een kwaadaardige app willekeurige code in de context van de kernel uitvoeren en is het mogelijk om het toestel permanent over te nemen. Een probleem dat mogelijk alleen door het opnieuw installeren van het besturingssysteem kan worden verholpen, aldus Google. De Nexusupdates worden over-the-air aangeboden en zijn ook als firmwaredownload verkrijgbaar. Wanneer de updates voor de Androidtoestellen van andere fabrikanten verschijnen is onbekend.