Wat je moet weten
- Google heeft een beveiligingsfout in Android gevonden die het uitvoeren van code op afstand mogelijk maakte, wat het omschreef als een 'kritiek beveiligingsprobleem'.
- De kwetsbaarheid staat bekend als een 'zero-click'-fout, wat betekent dat er geen interactie nodig is om te worden misbruikt.
- Google biedt OEM's een oplossing via het Android Open Source Project, maar het is aan elke telefoonfabrikant om updates naar hun smartphones te sturen.
Google heeft een ‘kritiek beveiligingslek’ in Android ontdekt dat het voor een hacker op afstand mogelijk maakt om code op je telefoon uit te voeren, zo staat in de publicatie van december. Android-beveiligingsbulletin. Het bedrijf heeft fabrikanten van Android-telefoons al een oplossing geboden, maar elke OEM zal zijn eigen update moeten uitbrengen om het beveiligingslek te verhelpen.
De bug is toegewezen CVE-2023-40088 in de Nationale Kwetsbaarheidsdatabase, die meer informatie biedt. Volgens het NVD-rapport komt het probleem naar voren wanneer de Android-telefoon een
callback_thread_event van com_android_bluetooth_btservice_AdapterService.cpp. Tijdens deze actie is het mogelijk dat het geheugen beschadigd raakt door een use-after-free-kwetsbaarheid.In wezen zorgt dit probleem ervoor dat Android-telefoons toegang krijgen com_android_bluetooth_btservice_AdapterService.cpp zonder toestemming nadat de toewijzing van het systeemgeheugen al is opgeheven. Hierdoor kan een externe hacker toegang krijgen tot een Android telefoon, waarbij code wordt uitgevoerd zonder dat er een gebruikersactie nodig is.
Hoewel deze fout op afstand kan worden uitgevoerd, is het vermeldenswaard dat een potentiële aanvaller relatief dichtbij u moet zijn om te kunnen werken. Het kan worden benut via Wi-Fi, Bluetooth of een draadloze NFC-verbinding.
Google heeft een oplossing gestuurd voor Android-versies 11, 12, 12L, 13 en de nieuwste Androïde 14 door het Android Open Source-project. Vermoedelijk betekent dit dat Android-telefoons in die versies door de bug worden getroffen. Omdat dit probleem het uitvoeren van code op afstand mogelijk maakt zonder dat er gebruikersinteractie nodig is, is dit een van de ernstigste beveiligingsproblemen.
Noch Google, noch de NVD geeft aan of de bug actief in het wild is uitgebuit. Normaal gesproken wordt dit vermeld als er misbruik is gemaakt van een beveiligingslek, maar dat weten we niet zeker. Google heeft geen context meer toegevoegd voor de kwetsbaarheid, wat te verwachten was. Het bedrijf zal waarschijnlijk niet meer informatie verstrekken totdat het probleem is verholpen en de meeste actieve apparaten zijn bijgewerkt.
Omdat de patch echter via de AOSP wordt uitgebracht, zul je niet meteen een update zien. De update wordt de komende dagen verzonden, maar elke Android-OEM moet daarna de oplossing verzenden. Pixel-telefoons kunnen de eerste zijn die de patch ontvangen, maar de tijdlijnen kunnen variëren voor andere merken.
Houd, gezien de ernst van dit probleem, deze maand rekening met een beveiligingsupdate als u een Android-smartphone gebruikt.