Nieuws
image

Google meldt actief aangevallen zerodaylekken in Android

dinsdag 3 oktober 2023, 13:25 door Redactie, 7 reacties

Google waarschuwt eigenaren van een Androidtelefoon voor twee actief aangevallen zerodaylekken, alsmede een kritieke kwetsbaarheid waarmee toestellen op afstand zijn over te nemen. Tijdens de patchronde van oktober heeft het techbedrijf in totaal 53 beveiligingslekken in Android verholpen.

Twee van deze kwetsbaarheden, CVE-2023-4863 en CVE-2023-421, worden inmiddels actief bij aanvallen gebruikt, zo laat Google weten. CVE-2023-4863 betreft een kritieke kwetsbaarheid in WebP, een door Google ontwikkeld bestandsformaat dat de formaten JPEG, PNG en GIF zou moeten vervangen. Via dit kritieke beveiligingslek is remote code execution mogelijk als er een malafide WebP-afbeelding wordt verwerkt. Verdere details zijn niet gegeven. Eerder kwam Google al met een update voor dit lek in Chrome. Volgens het techbedrijf is de kwetsbaarheid gebruikt door een commerciële spywareleverancier.

De tweede zeroday bevindt zich in de ARM Mali GPU-kerneldriver en maakt het mogelijk voor een aanvaller die al toegang tot de telefoon heeft om toegang tot vrijgemaakt geheugen te krijgen. Verdere details zijn niet door ARM gegeven, behalve dat het beveiligingslek door onderzoekers van Google is gevonden.

Naast de aangevallen zerodaylekken verdient kwetsbaarheid CVE-2023-40129 de aandacht. Dit beveiligingslek bevindt zich in het System-onderdeel van Android een laat een aanvaller op afstand code op de telefoon uitvoeren, zonder dat enige interactie van gebruikers of speciale permissies vereist zijn. Google geeft geen verdere details over het probleem, maar stelt tussen haakjes dat een aanvaller "dichtbij" zou moeten zijn. Mogelijk gaat het dan om een aanval via bluetooth, maar dat is zonder verdere details niet met zekerheid te zeggen.

Naast beveiligingslekken in de eigen Androidcode heeft Google ook verschillende kwetsbaarheden in code van derde partijen verholpen waar Android ook gebruik van maakt. Het gaat onder andere om drie kritieke beveiligingslekken (CVE-2023-24855, CVE-2023-28540 en CVE-2023-33028) in de code van chipgigant Qualcomm die op afstand zijn te misbruiken en onder andere tot een buffer overflow kunnen leiden. Eén van deze kwetsbaarheden bevindt zich in de wifi-firmware.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2023-10-01' of '2023-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (7)
03-10-2023, 13:46 door Anoniem
Heeft er daar ook al iemand gemeld hoe het kon dat die lekken daar nog in konden zitten?
03-10-2023, 15:29 door Anoniem
Weet iemand misschien hoe lang het updaten ongeveer duurt op een android telefoon die 3 jaar niet is geüpdatet? Alvast bedankt.
03-10-2023, 15:34 door Anoniem
Hadden we ongeveer dezelfde problemen niet al in de vorige twee patch rondes zitten? Vooral dat gedoe met Bluetooth steeds. Wel vervelend. LineageOS loopt een dag of 20 achter, dus dan ben je met de beste intenties toch steeds 3 weken per maand kwetsbaar. Bluetooth kan je beter uitzetten als je het huis uitgaat. Je zou maar muziek willen luisteren en geen 3,5mm jack hebben. Dan heb je een onzichtbare antenne met een straal van 20 meter om je heen waar malware aan blijft kleven.
03-10-2023, 21:45 door Anoniem
Door Anoniem: Weet iemand misschien hoe lang het updaten ongeveer duurt op een android telefoon die 3 jaar niet is geüpdatet? Alvast bedankt.

eeuwig.
04-10-2023, 03:59 door Anoniem
Door Anoniem:
Door Anoniem: Weet iemand misschien hoe lang het updaten ongeveer duurt op een android telefoon die 3 jaar niet is geüpdatet? Alvast bedankt.

eeuwig.

Haha! Nee, het zou net zolang moeten duren als elke andere firmware update aangezien de firmware altijd wordt overschreven door de nieuwe firmware, dus het gaat hier niet om een steeds groter wordend bestand of iets dergelijks.
Met een A/B partitionering (mits de telefoon dat heeft) is het zo dat bijv. partitie A wordt overschreven terwijl de firmware op partitie B nog draaiende is, tijdens de reboot zal de firmware overschakelen op partitie A, de nieuwe firmware, bij de volgende update zal dat partitie B zijn.
Dankzij fallback protection zal deze methode niet snel geëxploiteerd worden.
Een update zou voor iedereen niet meer dan ca. tien minuten in beslag mioeten nemen.
09-10-2023, 18:07 door Anoniem
Ik heb een Samsung S9+, met hierop Android 10. De laatste Android security patch van deze telefoon dateert van maart 2022.

Moet ik mij nu zorgen maken om de beveiliging van deze telefoon?

NB: Google Chrome wordt nog wel steeds geupdate.
13-10-2023, 06:47 door Anoniem
De nieuwste Motorola Edge 40 Pro (Snapdragon 8 Gen 2) heeft al LineageOS support, ook alleen nog maar op XDA forums met onofficiele status, maar toch halen ze al gelijk de security patches binnen. Zelfde ervaring met al mijn vorige toestellen die LineageOS draaiden, altijd veel sneller en betrouwbaarder dan stock Android ROM van het merk zelf.

Ik koop alleen toestellen die bij voorbaat al LineageOS support hebben, zoals de net uitgekomen Edge 40 Pro ditmaal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure