Een kwetsbaarheid in Android maakt het mogelijk om hulpdiensten te misleiden. Door het beveiligingslek kan een kwaadwillende gebruiker namelijk tijdens het bellen van de alarmcentrale een gespoofte locatie doorgeven, zo laat Google weten. Het techbedrijf heeft de kwetsbaarheid tijdens de maandelijkse patchcyclus van april verholpen, alsmede 38 andere beveiligingslekken in het besturingssysteem. Verdere details over het spoofinglek zijn niet openbaar gemaakt.

Het is de eerste keer dat Google een dergelijke kwetsbaarheid in een beveiligingsbulletin voor Android vermeld. Android maakt gebruik van Advanced Mobile Location (AML) om de locatie van de gebruiker bij het bellen van een alarmcentrale door te geven. Hiervoor gebruikt AML wifi, gps en andere sensoren om de locatie te berekenen. Deze locatie wordt vervolgens automatisch via één of meer gratis sms-berichten aan de centralist doorgegeven.

AML werkt alleen bij het bellen van een alarmcentrale, ook als de locatievoorzieningen van de telefoon staan uitgeschakeld. De technologie heeft 5 tot 20 seconden nodig om iemands locatie te bepalen. In het sms-bericht dat de centralist ontvangt staan standaard de coördinaten van de beller, het tijdstip van het berekenen van de locatie, het telefoonnummer, het IMEI-nummer van de telefoon en het IMSI-nummer van de simkaart. Na het gesprek schakelt AML zichzelf uit. Het is op dit moment onduidelijk waar de kwetsbaarheid zich precies bevindt. Google vermeldt alleen dat het om het Android Framework gaat.

De gevaarlijkste kwetsbaarheid die deze maand volgens Google is verholpen bevindt zich in Android System en zorgt ervoor dat een remote aanvaller via een speciaal geprepareerd bestand willekeurige code op het toestel kan uitvoeren. Ook over dit beveiligingslek, aangeduid als CVE-2021-0430, zijn geen verdere details gegeven. Tevens is een beveiligingslek gepatcht dat het voor malafide applicaties mogelijk maakte om zonder interactie van gebruikers aanvullende permissies te verkrijgen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2021-04-01' of '2021-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.1, 9, 10 en 11.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.