Nieuws
image

Google waarschuwt voor actief aangevallen kwetsbaarheden in Android

dinsdag 4 maart 2025, 11:09 door Redactie, 6 reacties

Aanvallers hebben actief misbruik gemaakt van kwetsbaarheden in Android voordat beveiligingsupdates beschikbaar waren, zo waarschuwt Google. Patches zijn nu wel beschikbaar gemaakt. Daarnaast zijn er meerdere kritieke Androidlekken die remote code execution mogelijk maken. Een van de aangevallen beveiligingslekken (CVE-2024-50302) maakt het mogelijk om vergrendelde Androidtelefoons te ontgrendelen en is door de makers van forensische software Cellebrite gebruikt, zo stelde Amnesty International vorige week.

Google geeft geen details over de aanvallen en kwetsbaarheden, behalve dat beide actief aangevallen beveiligingslekken het voor een aanvaller mogelijk maken om zijn rechten te verhogen. Een aanvaller moet in dit geval al toegang tot het systeem hebben. CVE-2024-50302 bevindt zich in een usb-driver van de Linux-kernel. De tweede aangevallen kwetsbaarheid (CVE-2024-43093) is aanwezig in het Android Framework.

In de CVE-vermelding van CVE-2024-43093 staat dat een aanvaller het lek kan gebruiken om toegang tot gevoelige directories te krijgen. De makers van GrapheneOS, een op Android-gebaseerd besturingssysteem voor Pixel-telefoons, melden dat de fix voor CVE-2024-43093 al aanwezig was in Android 15 QPR1 die afgelopen december verscheen en nu is gebackport.

Kritieke kwetsbaarheden

De actief aangevallen beveiligingslekken hebben een lagere impactbeoordeling omdat een aanvaller al toegang tot het systeem moet hebben. In het Androidsysteem zijn echter ook acht kritieke kwetsbaarheden aangetroffen waardoor remote code execution mogelijk is. Een aanvaller kan zo op afstand code op telefoons uitvoeren, waarvoor er volgens Google geen aanvullende permissies zijn vereist.

Daarnaast is er een kritieke kwetsbaarheid die tot een denial of service kan leiden, alsmede een kritiek lek dat een aanvaller zijn rechten laat verhogen. Beveiligingslekken die het verhogen van rechten of een denial of service mogelijk maken worden zelden als kritiek beoordeeld. Dat is wel het geval bij CVE-2025-0081 (denial of service) en CVE-2025-22409 (escalation of privilege). Google geeft wederom geen details, zoals hoe misbruik mogelijk is en wat de gevolgen precies kunnen zijn.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de maart-updates ontvangen zullen '2025-03-01' of '2025-03-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van maart aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13, 14 en 15

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (6)
Reageer met quote
Vandaag, 11:33 door Anoniem
Fijn met internetbankieren op je Android telefoon. Kan je meteen “ondersteuning op afstand” krijgen ;-)
Reageer met quote
Vandaag, 11:47 door Anoniem
Het hele Android update systeem moet imho op de schop, ook al is er al een hoop aangepast de afgelopen jaren.

Google zou verantwoordelijk moeten zijn voor het gehele OS incl. updates, en de fabrikanten mogen er dan een eigen sausje (theme) en wat extra apps over heen gooien.
Nu zit er nog teveel 'gerommel' tussen, en krijg je telefoons die na 2 jaar al geen updates meer krijgen. Met alle mogelijke ellende van dien.
Er zijn door de EU al dingen aangescherpt wat betreft update cycles, maar het kan imho nog stukken beter.
Reageer met quote
Vandaag, 12:36 door Anoniem
Was dit niet het meest gebruikte OS?
Reageer met quote
Vandaag, 14:25 door Anoniem
Door Anoniem: Was dit niet het meest gebruikte OS?
Nee, nog steeds en veel minder ransomware dan dat andere systeem. Gek he.
Reageer met quote
Vandaag, 14:54 door Anoniem
Door Anoniem: Het hele Android update systeem moet imho op de schop, ook al is er al een hoop aangepast de afgelopen jaren.

Google zou verantwoordelijk moeten zijn voor het gehele OS incl. updates, en de fabrikanten mogen er dan een eigen sausje (theme) en wat extra apps over heen gooien.
Nu zit er nog teveel 'gerommel' tussen, en krijg je telefoons die na 2 jaar al geen updates meer krijgen. Met alle mogelijke ellende van dien.
Er zijn door de EU al dingen aangescherpt wat betreft update cycles, maar het kan imho nog stukken beter.
Mee eens. Los van dat zelfs telefoons die regelmatig updates ontvangen, dan het xx-xx-01 patch level hebben ipv het xx-xx-05 patch level met ook linux kernel en firmware updates. Veel telefoons met updates zullen dus toch nooit een fix voor dit issue in de kernel ontvangen.
En zelfs met een maandelijkse xx-xx-05 update heb je nog steeds niet de complete updates, omdat dit altijd backports zijn, zelfs voor Android 15. Voor zover ik weet zitten alle fabrikanten behalve Google nog op 15.0 (of ouder natuurlijk.) Android 15 wordt elke maand ook verder ontwikkeld en heeft ook nog eens quarterly releases. Alleen met de nieuwste versie van Android 15 krijg je ook alle Medium en Low severity security updates. Helaas benoemd Google deze updates niet meer als Android 15.2 of 15.2.1 oid, waardoor helemaal niet duidelijk is dat je zo niet de nieuwste versie hebt. Bij andere fabrikanten krijg je deze security fixes pas als ze Android 16 uitbrengen, als je die uberhaupt al krijgt van de fabrikant.
Reageer met quote
Vandaag, 17:08 door Anoniem
Door Anoniem: Het hele Android update systeem moet imho op de schop, ook al is er al een hoop aangepast de afgelopen jaren.

Google zou verantwoordelijk moeten zijn voor het gehele OS incl. updates, en de fabrikanten mogen er dan een eigen sausje (theme) en wat extra apps over heen gooien.
Nu zit er nog teveel 'gerommel' tussen, en krijg je telefoons die na 2 jaar al geen updates meer krijgen. Met alle mogelijke ellende van dien.
Er zijn door de EU al dingen aangescherpt wat betreft update cycles, maar het kan imho nog stukken beter.

Eens, alleen ligt de bal bij de telefoon fabrikant....
Die maakt een selectie en publiceert dat.
Google levert op tijd AOS. Daarna maakt een fabrikant een eigen variant.

Graphene OS loopt soms voor de muziek uit omdat die zelf zsm backports uitleveren als er een CVE beschikbaar komt.
USB issues waren ruim een week geleden al gepatched.
En zijn nu conform AOS gepatched.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure