Beheer

Security
Android

Google: aanvallers benutten zero-day in Android

Nieuwste Android-patch dicht lek dat actief misbruikt wordt, waarschuwt Google.

© Google
4 november 2021

Nieuwste Android-patch dicht lek dat actief misbruikt wordt, waarschuwt Google.

Google waarschuwt dat hackers een zero-day in Android actief misbruiken. De nieuwste beveiligingsupdate voor het mobiele besturingssysteem dicht die kwetsbaarheid én 38 andere lekken. Maar lang niet alle Android-smartphones en -tablets krijgen de update.

De zero-day wordt genoemd in het Android Security Bulletin, waarin Google toelicht welke kwetsbaarheden zijn nieuwste Android-beveiligingsupdate oplost. De update van november dicht CVE-2021-1048, een zero-day in de kern van Android die volgens Google 'mogelijk beperkt, gericht benut' wordt. Oftewel: kwaadwillende hackers wisten al van de kwetsbaarheid en hebben exploitcode gemaakt voordat Google met zijn patch is gekomen. Hoe lang deze 0-day al bekend en misbruikt wordt, is onbekend. Hetzelfde geldt voor wie er mogelijk aangevallen zijn of worden. Het is dit jaar overigens al de zesde zero-day in Android die actief misbruikt wordt. 

Zoals gebruikelijk zijn alle 'Android-partners' minimaal een maand voor de publicatie van het Security Bulletin op de hoogte gebracht van de zero-day, plus de 38 andere kwetsbaarheden. Smartphonemakers als Samsung, Sony en Xiaomi weten er dus al sinds 1 oktober of eerder van. Daarmee hebben die fabrikanten de tijd gekregen om in relatieve stilte de november-update compatibel te maken voor hun toestellen.

November-beveiligingsupdate

De november-beveiligingsupdate is door Google al verspreid voor zijn eigen Pixel-smartphones. Samsung heeft de update ook al beschikbaar gesteld voor veel van zijn populaire en duurdere Galaxy-toestellen. Andere merken volgen binnenkort.

De beveiligingsupdate is niet gebonden aan een specifieke Android-versie. Of een smartphone/tablet de update krijgt, hangt af van het updatebeleid van de fabrikant. Sommige merken garanderen twee jaar beveiligingsupdates vanaf het moment dat het apparaat de verkoop ingaat. Andere fabrikanten beloven drie, vier of zelfs vijf jaar updates voor Android door te geven aan hun klanten. 

Langer updatebeleid

Dit jaar hebben verschillende fabrikanten van Android-smartphones bekendgemaakt dat ze huidige en nieuwe toestellen langer beveiligingsupdates gaan geven. Zo doet Oppo dat niet langer twee jaar maar voortaan vier jaar. Verder gaat OnePlus van drie naar vier jaar (voor de duurdere modellen van zijn smartphones). Ook Motorola en Nokia voeren een langer updatebeleid in voor geselecteerde toestellen.

Lees meer over
1
Reacties
Stef Joosten 05 november 2021 13:39

Ik zou graag zien dat Tweakers (en andere vergelijkingssites) ook een filter zou zetten op het aantal jaren vanaf aankoopdatum dat de fabrikant beveiligingsupdates doorvoert. Ik zou daar beslist mijn aankoopbeslissing van laten afhangen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.