Twee zero-day lekken in Android worden actief misbruikt, er komt snel een update

Google zegt dat er aanwijzingen zijn dat er 'doelgericht misbruik' van de kwetsbaarheden wordt gemaakt. De meest ernstige kwetsbaarheid zit in kritieke beveiligingsfuncties van het systeem, die gebruikt kunnen worden om Android-apparaten binnen te dringen en over te nemen.

Om de kwetsbaarheden te kunnen misbruiken, is fysieke toegang via USB tot een apparaat nodig. Daarna kan een aanvaller gegevens van vergrendelde smartphones bemachtigen. "Interactie met de gebruiker is niet nodig bij het misbruiken van de kwetsbaarheid", aldus Google. De kwetsbaarheden bevinden zich in het USB-onderdeel van de Android-kernel.

Een van de kwetsbaarheden werd in februari al ontdekt door Amnesty International, nadat bleek dat de Servische overheid er gebruik van maakte om een activist tegen te werken. De overheid in Servië maakt gebruik van apparatuur van het forensisch bedrijf Cellebrite, dat meerdere overheden van hardware voorziet voor opsporingswerk. Zowel Google als Amnesty International willen daar verder niet op ingaan. Cellebrite gebruikte de kwetsbaarheden voor het ontgrendelen van vergrendelde Android-telefoons.

Binnenkort updates van fabrikanten

Over de tweede kwetsbaarheid is een stuk minder bekend, behalve dat deze gevonden is in de kern van het besturingssysteem. Google zegt voor woensdagavond met broncode te komen voor een patch die de lekken dicht.

Daarna moeten smartphonefabrikanten afzonderlijk updates beschikbaar stellen aan hun gebruikers. Wanneer dat gebeurt, verschilt dus per telefoonmerk.

Lees meer over Android-smartphones en mis niets met de Bright-app.