Ontwikkelaar van forensische software Cellebrite heeft drie kwetsbaarheden in de usb-kerneldrivers van Android gebruikt voor het ontgrendelen van vergrendelde telefoons, zo meldt mensenrechtenorganisatie Amnesty International. Twee van de kwetsbaarheden zijn nog niet in Android gepatcht (CVE-2024-53197 en CVE-2024-50302), maar wel upstream in de Linux-kernel. Begin deze maand kwam Google wel met een beveiligingsupdate voor de derde kwetsbaarheid, aangeduid als CVE-2024-53104.

Bij de publicatie van de update gaf Google geen verdere details over de kwetsbaarheid, behalve dat er actief misbruik van wordt gemaakt. Volgens de beschrijving van Google kan CVE-2024-53104 leiden tot het 'fysiek' verhogen van rechten, zonder dat hiervoor aanvullende uitvoerpermissies zijn vereist. Verdere details werden niet gegeven. CVE-2024-53104 werd eerder al in de Linux-kernel verholpen. "Het is waarschijnlijk één van die usb-kwetsbaarheden misbruikt door forensische data extraction tools", zo stelden de makers van GrapheneOS, een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. GrapheneOS laat nu via X weten dat de drie kwetsbaarheden aanwezig zijn in de usb-webcamdriver, usb-geluidskaartdriver en usb-touchpaddriver van de Linux-kernel.

Amnesty International geeft ook meer details over de drie kwetsbaarheden en stelt dat die in combinatie met elkaar zijn gebruikt voor het ontgrendelen van vergrendelde Androidtelefoons. Misbruik van de beveiligingslekken zou al zeker sinds halverwege 2024 plaatsvinden. "Deze zaak laat zien hoe echte aanvallers misbruik maken van het usb-aanvalsoppervlak van Android, waarbij ze misbruik maken van het grote aantal legacy usb-kerneldrivers die in de Linux-kernel worden ondersteund", zo stelt de mensenrechtenorganisatie. Amnesty roept Androidleveranciers op om dringend beveiligingsmaatregelen te versterken, om zo de dreiging van onbetrouwbare usb-verbindingen naar vergrendelde telefoons te voorkomen.