Tijdens de eerste patchronde van 2024 heeft Google in totaal 59 kwetsbaarheden in Android verholpen, waaronder een kritiek beveiligingslek waardoor telefoons met een Qualcomm-chipset op afstand zijn aan te vallen. Met de maandelijkse patches verhelpt Google zowel kwetsbaarheden in de eigen Androidcode als onderdelen van chipfabrikanten zoals Qualcomm, MediaTek en Arm.

Het gevaarlijkste beveiligingslek in de Androidcode van deze maand maakt het mogelijk voor een malafide app om zonder enige interactie van de gebruiker zijn rechten te verhogen. Zo zou de malafide app bijvoorbeeld toegang tot data kunnen krijgen waar die eigenlijk geen toegang toe zou moeten hebben of acties kunnen uitvoeren die de app eigenlijk niet hoort te kunnen uitvoeren. De impact van deze kwetsbaarheid is door Google als 'high' bestempeld.

Daarnaast zijn er ook meerdere kwetsbaarheden in onderdelen van chipfabrikanten verholpen, waaronder drie die als kritiek zijn bestempeld. Twee daarvan zijn alleen lokaal te misbruiken, wat inhoudt dat een aanvaller al toegang tot het toestel moet hebben, bijvoorbeeld via een malafide app of een andere kwetsbaarheid. Het derde kritieke lek is echter wel op afstand te misbruiken.

Het gaat om een beveiligingslek aangeduid als CVE-2023-33025, dat aanwezig is in de datamodem van verschillende Qualcomm-chipsets. Het beveiligingslek betreft een buffer overflow dat zich bij een VOLTE-gesprek kan voordoen. Vervolgens zou een aanvaller willekeurige code kunnen uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de januari-updates ontvangen zullen '2024-01-01' of '2024-01-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van januari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L,13 en 14.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.