Miljoenen Androidtelefoons zijn kwetsbaar voor een aanval via bluetooth waarbij een aanvaller het toestel op afstand kan overnemen. Volgens Google gaat het om een kritiek beveiligingslek. Het techbedrijf heeft beveiligingsupdates voor Android 12 en 12L uitgebracht om het probleem te verhelpen.
Elke maand komt Google met beveiligingsupdates voor Android. Tijdens de patchronde van augustus zijn er in totaal 37 kwetsbaarheden in het platform verholpen. Eén van deze beveiligingslekken, in Android System, is aangemerkt als kritiek. Het gaat om een kwetsbaarheid aangeduid als CVE-2022-20345 die "remote code execution" via bluetooth mogelijk maakt, waarbij een aanvaller geen aanvullende uitvoerrechten nodig heeft.
Verdere details over de kwetsbaarheid, zoals hoe een aanvaller er precies misbruik van kan maken en in welke Androidversies het probleem aanwezig is, zijn niet door Google gegeven. Het lek is verholpen in Android 12 en 12L. De overige 36 kwetsbaarheden hebben een lagere impact en maken het mogelijk voor malafide apps en aanvallers met toegang tot het systeem om hun rechten te verhogen of op afstand informatie te stelen.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de augustus-updates ontvangen zullen '2022-08-01' of '2022-08-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van augustus aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.