Overheden en criminelen misbruiken twee zero-day-lekken in Android, update in aantocht

Google is druk bezig om twee ernstige zero-day-kwetsbaarheden in het besturingssysteem Android aan te pakken. Er zijn aanwijzingen dat er 'doelgericht misbruik' gemaakt wordt van de softwarefouten. De lekken worden binnenkort gedicht via updates van smartphonefabrikanten, meldt Google.

Een van de kwetsbaarheden treft kritieke beveiligingsfuncties van Android en maakt het mogelijk om apparaten over te nemen zodra iemand fysieke toegang heeft via de USB-poort. "Interactie met de gebruiker is niet nodig bij het misbruiken van de kwetsbaarheid", laat Google weten. De fouten bevinden zich in het USB-gedeelte van de Android-kernel, het hart van het besturingssysteem.

De term 'zero-day' verwijst naar het feit dat de leverancier of ontwikkelaar de fout pas net heeft ontdekt, waardoor ze 'zero days' (nul dagen) de tijd hebben om de fout op te lossen. Volgens Google zijn er sterke aanwijzingen dat kwaadwillenden de lekken al actief misbruiken. De impact is groot: een aanvaller kan zelfs gegevens van vergrendelde smartphones buitmaken.

De ernst van de situatie wordt verder onderstreept door onthullingen van Amnesty International. De mensenrechtenorganisatie ontdekte al in februari dat de kwetsbaarheid werd gebruikt door de Servische overheid om een activist digitaal te bespioneren. De overheid maakte daarbij gebruik van tools van het Israëlische bedrijf Cellebrite, dat gespecialiseerd is in forensische opsporingstechnologie.

Cellebrite staat erom bekend dat het technologie levert aan overheden wereldwijd om smartphones te ontgrendelen. In dit geval werd daarvoor gebruikgemaakt van de USB-kwetsbaarheid in Android. Zowel Google als Amnesty International wilden geen verdere toelichting geven op de betrokkenheid van Cellebrite.

Over de tweede kwetsbaarheid, die zich dieper in het besturingssysteem bevindt, zijn minder details bekend. Google belooft uiterlijk woensdagavond de broncode te publiceren van een patch die beide lekken dicht.

Daarna is het aan de verschillende telefoonmerken om de beveiligingsupdates door te voeren. Wanneer gebruikers de updates precies ontvangen, hangt af van hun toestel en fabrikant.

Bron: Bright