Hackers nemen Android-smartphones over via 'zeer ernstig' lek

Het lek is ontdekt door Googles Project Zero-onderzoeksteam en Googles Threat Analysis Group. Het Israëlische beveiligingsbedrijf NSO gebruikt de kwetsbaarheid al, vermoedelijk door 'm te verkopen aan geïnteresseerde partijen. Omdat Google nog geen sample heeft van het lek, is het niet duidelijk hoe hij gebruikt wordt. Volgens Google gaat het in ieder geval om een 'zeer ernstige' kwetsbaarheid die de naam CVE-2019-2215 heeft gekregen. 

Smartphones van allerlei merken kwetsbaar

Minstens achttien smartphones zijn gevoelig voor het lek, schrijft Arstechnica. Het gaat om modellen van LG, Samsung, Huawei, Motorola, Oppo en Xiaomi. Meerdere Google Pixel-telefoons zijn ook vatbaar. Google waarschuwt dat de lijst mogelijk veel groter is. 

Hacken via app of web

Het lek kan op twee manieren worden ingezet, legt een medewerker van Project Zero uit in een blogpost. Als de gebruiker een malafide app installeert op een kwetsbare telefoon, kan een hacker het toestel eenvoudig en volledig overnemen. Dat kan ook als de gebruiker besmette websites bezoekt via de Chrome-browser, al moet de kwaadwillende dan wel een tweede exploit gebruiken. 

Update lost het lek op

Google stelt dat het lek is opgelost in de Android-beveiligingsupdate van oktober. Die update komt 'binnen een paar dagen' beschikbaar voor Googles Pixel-smartphones. Google heeft de update ook vrijgegeven aan andere fabrikanten. Toestellen die minder dan twee jaar geleden zijn uitgebracht, moeten van Google binnen drie maanden geüpdatet worden. Voor oudere telefoons geldt die verplichting niet en dus zullen lang niet alle Android-toestellen die in omloop zijn, (snel) de update krijgen.