Google: Android-fabrikanten patchen te laat
Fabrikanten van Android-telefoons wachten te lang met het installeren van patches, waardoor oude kwetsbaarheden nog door aanvallers gebruikt kunnen worden. Dat schrijft Google’s Project Zero.
Project Zero is Google’s onderzoeksgroep rond beveiliging. In een nieuwe blogpost schrijft Ian Beer, onderzoeker bij deze groep, dat fabrikanten te lang wachten met het uitsturen van patches voor Android-telefoons. Zowat de helft van de 0-day bugs die in de eerste zes maanden van 2022 werden misbruikt, bleken varianten van kwetsbaarheden waarvoor al patches uitwaren, zo schrijft Beer.
De conclusie lijkt te zijn dat fabrikanten van hardware sneller en grondiger moeten zijn met het implementeren van patches en het uitsturen van beveiligingsupdates naar hun gebruikers. Beer geeft het voorbeeld van een vijftal kwetsbaarheden in de Mali GPU driver van Arm die Project Zero vond. De combinatie geeft aanvallers de mogelijkheid om volledige toegang te krijgen tot een systeem en de klassieke toestemmingen binnen Android te omzeilen. De kwetsbaarheden werden in juni en juli van dit jaar aan Arm doorgegeven en gepatcht, maar werden volgens Beer niet voldoende verholpen.
De blogpost roept verder ook de fabrikanten van Android-telefoons op om sneller beveiligingsupdates door te voeren. ‘We geven gebruikers het advies om zo snel mogelijk te patchen eens een security update voorhanden is, maar dat geldt ook voor fabrikanten en bedrijven’, aldus nog Beer.
Fout opgemerkt of meer nieuws? Meld het hier