Google waarschuwt eigenaren van een Androidtelefoon voor een actief misbruikte kwetsbaarheid in de kernel van het besturingssysteem die via usb is te misbruiken. Updates zijn nu uitgebracht, maar Google laat niet weten hoelang misbruik al plaatsvindt. Het beveiligingslek (CVE-2024-53104) bevind zich in het UVC-onderdeel van de Androidkernel. UVC staat voor USB Video Class (UVC) en slaat op usb-apparaten die video kunnen streamen, zoals webcams, camcorders, transcoders en andere apparaten.

Volgens de beschrijving van Google kan CVE-2024-53104 leiden tot het 'fysiek' verhogen van rechten, zonder dat hiervoor aanvullende uitvoerpermissies zijn vereist. Verdere details zijn niet gegeven. CVE-2024-53104 werd eerder al in de Linux-kernel verholpen. "Het is waarschijnlijk één van die usb-kwetsbaarheden misbruikt door forensische data extraction tools", zo stellen de makers van GrapheneOS, een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. Verdere details over de betreffende tools geeft GrapheneOS niet.

Wel stellen de makers dat de Linux-kernel op dit moment de zwakke plek van de Androidbeveiliging. "Het is de eenvoudigste manier om uit de app-sandbox te breken en de meer beperkte sandboxes die worden gebruikt voor het verwerken van media en de Chromium renderer processen. De Linux-kernel is op zichzelf ook een grote fysieke en remote aanvalsvector."

Wifi-aanval

In totaal heeft Google deze maand 47 kwetsbaarheden verholpen, waaronder ook in onderdelen van chipfabrikant Qualcomm. Een van de beveiligingslekken springt er daarbij uit. Het gaat om CVE-2024-45569. Het betreft de enige kritieke kwetsbaarheid van deze maand. Het beveiligingslek is aanwezig in het wifi-onderdeel van meer dan honderdzeventig verschillende chipsets. Het beveiligingslek doet zich voor bij het verwerken van wifi-frames en kan ervoor zorgen dat een aanvaller code op de telefoon kan uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Details over hoe een aanvaller precies van deze kwetsbaarheid misbruik kan maken laat Qualcomm niet weten.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de februari-updates ontvangen zullen '2025-02-01' of '2025-02-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van februari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13, 14 en 15

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.