Androidtelefoons van onder andere Google, Samsung, Xiaomi, Oppo en andere fabrikanten zijn kwetsbaar voor aanvallen omdat bekende kwetsbaarheden in de kerneldriver van de grafische processor (GPU) van de toestellen nog altijd niet zijn verholpen. Daarvoor waarschuwt beveiligingsonderzoeker Ian Beer van Google Project Zero.
Begin dit jaar werd bekend dat aanvallers misbruik maakten van een zerodaylek in de kerneldriver van de ARM Mali GPU van Google Pixel-telefoons. Chipfabrikant ARM had op 6 januari een update voor de kwetsbaarheid uitgebracht. Via het beveiligingslek kan een malafide app of lokale gebruiker rootrechten krijgen. Vorig jaar werd de Mali GPU ook al het doelwit van zeroday-aanvallen.
Het Androidlandschap is erg versnipperd doordat fabrikanten hun eigen hardware en Androidversies gebruiken, wat het lastig voor aanvallers maakt om een kwetsbaarheid te vinden die tegen meerdere toestellen kan werken. Veel Androidtelefoons maken echter gebruik van dezelfde GPU plus driver, waardoor aanvallers zich op dit onderdeel richten.
Naar aanleiding van de zeroday-aanval op Pixel-telefoons eerder dit jaar besloot Google een onderzoek naar de Mali GPU-driver uit te voeren. Dat leverde vijf kwetsbaarheden op waardoor een malafide app of gebruiker met toegang tot het toestel volledige controle over het systeem kan krijgen. Een dergelijke kwetsbaarheid kan bijvoorbeeld worden gecombineerd met een kwetsbaarheid in de browser om telefoons op afstand over te nemen.
Google waarschuwde ARM, dat in juli en augustus met patches voor de kwetsbaarheden kwam. Het gaat hier om updates die aan fabrikanten worden aangeboden. Vervolgens maakte Google de details eind augustus en halverwege september openbaar. Soms controleert Google Project Zero de kwaliteit van beschikbaar gemaakte beveiligingsupdates of kijkt of er een variant van de verholpen kwetsbaarheid bestaat.
In dit geval bleek dat alle geteste Androidtelefoons nog steeds kwetsbaar waren en het beveiligingslek in geen enkel beveiligingsbulletin van de Androidfabrikanten wordt genoemd. Google Project Zero roept telefoonleveranciers dan ook op om beschikbaar gestelde patches snel in hun eigen beveiligingsupdates te verwerken en onder gebruikers te verspreiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.