Google waarschuwt voor aangevallen usb-lekken in Androidtelefoons
Google waarschuwt eigenaren van een Androidtelefoon voor actief aangevallen usb-kwetsbaarheden en heeft updates uitgebracht om de problemen te verhelpen. Daarnaast zijn ook verschillende kritieke beveiligingslekken in Android gepatcht. De aangevallen kwetsbaarheden zijn CVE-2024-53150 en CVE-2024-53197 en bevinden zich in het usb-onderdeel van de Androidkernel.
Via de twee kwetsbaarheden kan een aanvaller met fysieke toegang tot een Androidtelefoon informatie verkrijgen en rechten verhogen. Onlangs meldde mensenrechtenorganisatie Amnesty International dat ontwikkelaar van forensische software Cellebrite drie kwetsbaarheden in de usb-kerneldrivers van Android heeft gebruikt voor het ontgrendelen van vergrendelde telefoons. Daarbij werd ook CVE-2024-53197 genoemd.
CVE-2024-53150 en CVE-2024-53197 betreffen een heap overflow (write) in een usb-geluidskaartdriver van de Linuxkernel, zo laten de makers van GrapheneOS op X weten. Ze stellen dat beide beveiligingslekken door Cellebrite worden gebruikt om data van vergrendelde Androidtelefoons te halen.
Naast de aangevallen kwetsbaarheden vallen vier andere beveiligingslekken op. Het gaat om CVE-2025-22429, CVE-2025-26416, CVE-2025-22423 en CVE-2024-45551. De eerste drie bevinden zich in de Androidcode en kunnen respectievelijk leiden tot het achterhalen van informatie, verhogen van rechten en een denial of service. Dergelijke kwetsbaarheden worden over het algemeen niet als kritiek bestempeld, maar Google doet dat nu wel. Het techbedrijf geeft echter geen verdere details. CVE-2024-45551 is een kritiek lek in de code van chipfabrikant Qualcomm waar Android gebruik van maakt. Dit lek is alleen lokaal te misbruiken.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2025-04-01' of '2025-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 13, 14 en 15Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Mijn ervaring is dat de maandelijkse update voor de pixels de andere ochtend beschikbaar zijn.
In mijn geval morgenochtend 9 april.
Ik vermoed dat ze de update beschikbaar stellen als de werkdag beindigd is, dus rond 2300uur Amerikaanse tijd
Dus USB wordt alleen een laad-poort.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
