Een bekende onderzoeker van Google heeft uitgehaald naar het Android-ecosysteem, omdat beveiligingsupdates niet snel genoeg onder gebruikers worden uitgerold en die zo via bekende kwetsbaarheden kunnen worden aangevallen. De enige bescherming is dan het niet meer gebruiken van de Androidtelefoon, zo stelt Maddie Stone, beveiligingsonderzoeker van Googles Threat Analysis Group (TAG). Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.
Elk jaar maakt het TAG-team een overzicht van waargenomen zerodaylekken. Het gaat hierbij om actief misbruikte kwetsbaarheden waar nog geen update van de leverancier voor beschikbaar is. Vorig jaar telde het TAG-team 41 zerodaylekken, een daling ten opzichte van 2021, toen het nog om 69 van dergelijke kwetsbaarheden ging. Omdat er geen patches beschikbaar zijn, zijn zerodays zeer effectief.
In het geval van Android blijken bekende bekende kwetsbaarheden waarvoor patches beschikbaar zijn ook als zerodays te fungeren, omdat de betreffende updates niet onder gebruikers zijn uitgerold. "De enige bescherming voor gebruikers is dan het toestel niet meer te gebruiken", stelt Stone. Ze noemt als voorbeeld een kwetsbaarheid in de kerneldriver van de ARM Mali GPU waar Androidtelefoons gebruik van maken.
Het beveiligingslek werd vorig jaar juli door een externe onderzoeker bij het Android Security Team gemeld. In augustus 2022 liet het Android Security Team weten dat het probleem niet zou worden verholpen, omdat het "apparaatspecifiek" was. ARM kwam vervolgens in oktober met een eigen update. Afgelopen november bleek dat aanvallers actief misbruik van de kwetsbaarheid maakten. In april van dit jaar besloot Android pas om de ARM-patch onderdeel van de Android-updates te maken. En zo zijn er nog meer voorbeelden, aldus Stone. Een andere ARM-patch voor een actief aangevallen kwetsbaarheid werd pas na 17 maanden door Android toegevoegd.
Een ander probleem dat Stone benoemt is de kwaliteit van de beveiligingsupdates die leveranciers uitbrengen. Van de 41 zerodaylekken die vorig jaar werden waargenomen waren er 17 een variant van eerder gevonden kwetsbaarheden. Volgens Stone is het dan ook belangrijk dat leveranciers en ontwikkelaars naar de werkelijke oorzaak van een beveiligingslek kijken en niet alleen de manier verhelpen waarop aanvallers er in dat specifieke geval misbruik van maken.
Terugblikkend op vorig jaar concludeert Stone dat updates sneller onder gebruikers moeten worden uitgerold, zodat die zichzelf kunnen beschermen. Moeten leveranciers meer details over zerodaylekken delen zodat hiervan kan worden geleerd en moet de kwaliteit van de patches beter, zodat de werkelijke hoofdoorzaak wordt weggenomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.