Google: aanvallers benutten zero-day in Android

De zero-day wordt genoemd in het Android Security Bulletin, waarin Google toelicht welke kwetsbaarheden zijn nieuwste Android-beveiligingsupdate oplost. De update van november dicht CVE-2021-1048, een zero-day in de kern van Android die volgens Google 'mogelijk beperkt, gericht benut' wordt. Oftewel: kwaadwillende hackers wisten al van de kwetsbaarheid en hebben exploitcode gemaakt voordat Google met zijn patch is gekomen. Hoe lang deze 0-day al bekend en misbruikt wordt, is onbekend. Hetzelfde geldt voor wie er mogelijk aangevallen zijn of worden. Het is dit jaar overigens al de zesde zero-day in Android die actief misbruikt wordt.

Zoals gebruikelijk zijn alle 'Android-partners' minimaal een maand voor de publicatie van het Security Bulletin op de hoogte gebracht van de zero-day, plus de 38 andere kwetsbaarheden. Smartphonemakers als Samsung, Sony en Xiaomi weten er dus al sinds 1 oktober of eerder van. Daarmee hebben die fabrikanten de tijd gekregen om in relatieve stilte de november-update compatibel te maken voor hun toestellen.

November-beveiligingsupdate

De november-beveiligingsupdate is door Google al verspreid voor zijn eigen Pixel-smartphones. Samsung heeft de update ook al beschikbaar gesteld voor veel van zijn populaire en duurdere Galaxy-toestellen. Andere merken volgen binnenkort.

De beveiligingsupdate is niet gebonden aan een specifieke Android-versie. Of een smartphone/tablet de update krijgt, hangt af van het updatebeleid van de fabrikant. Sommige merken garanderen twee jaar beveiligingsupdates vanaf het moment dat het apparaat de verkoop ingaat. Andere fabrikanten beloven drie, vier of zelfs vijf jaar updates voor Android door te geven aan hun klanten. 

Langer updatebeleid

Dit jaar hebben verschillende fabrikanten van Android-smartphones bekendgemaakt dat ze huidige en nieuwe toestellen langer beveiligingsupdates gaan geven. Zo doet Oppo dat niet langer twee jaar maar voortaan vier jaar. Verder gaat OnePlus van drie naar vier jaar (voor de duurdere modellen van zijn smartphones). Ook Motorola en Nokia voeren een langer updatebeleid in voor geselecteerde toestellen.