Google dringt aan op snellere Android-updates

Vind Mijn Apparaat
© Google
Google vraagt fabrikanten van Android-toestellen hun telefoons sneller te updaten. De zoekgigant meldt dat kwetsbaarheden in Android nu nog te lang ongepatcht blijven.

Google gaat in een blogpost specifiek in op gevallen waarin wel patches beschikbaar waren, maar fabrikanten verzaakten deze uit te rollen naar hun toestellen. Google spreekt over deze situaties als N-days. Gepatchte kwetsbaarheden in Android blijven daardoor fungeren als zeroday-bugs: bugs die nog niet zijn gepatcht. Hiervoor bestaan dan vaak ook al uitbuitingsmogelijkheden.

N-day kwetsbaarheden

Een voorbeeld daarvan is een zerodaykwetsbaarheid in een ARM Mali GPU. Nadat de bug in juli 2022 door Google werd ontdekt, bracht ARM in oktober een beveiligingspatch uit. Een patch die fabrikanten links lieten liggen. Pas toen de zoekgigant besloot de patch in april 2023 besloot op te nemen in zijn Security Bulletin, kregen kwetsbare Androidtelefoons een bugoplossing. In de tijd die voorafging aan dat proces werd de kwetsbaarheid naar verluidt meermaals misbruikt.

Soms liggen de kwetsbaarheden niet alleen bij drivers. Samsung liet immers lange tijd een bug in zijn Internet Browser ‘onbewaakt’. Het lek bevond zich in Chromium 102, waar Samsung zijn browser op had gebaseerd, en een ARM GPU-driver. Concreet ging het om een tweeledige kwetsbaarheid, geregistreerd onder CVE-2022-3038 en CVE-2022-22706. ARM wist de kwetsbaarheid al in januari 2022 te patchen, waarna Google in juni 2022 eenzelfde patch uitbracht in Chromium 105.

Patches die in december 2022 nog altijd niet waren overgenomen. Pas in juni 2023 – 17 maanden nadat de kwetsbaarheid voor het eerst werd gemeld – voegde Google de bugoplossing toe aan zijn Security Bulletin. Ook van deze N-day kwetsbaarheden is gekend dat hij actief is misbruikt.

Uitgelicht artikel Android smartphone Nieuwe Android-malware treft tienduizenden apps

‘Update toestellen sneller’

Googles blogpost vraagt ook om actie. De zoekgigant meldt dat dit probleem niet per se uniek is aan Android, maar wel vaker voorkomt op zijn platform. Ook duren zulke problemen vaak langer voort.

Dit vraagt volgens de Androidontwikkelaar om meer tijdige patches voor zerodays. Ook wil Google dat platformen sneller browserupdates opvolgen en dat toestelmakers en componentfabrikanten, zoals chipmakers, nauwer gaan samenwerken om beveiligingspatches sneller uit te rollen en ook sneller kwetsbaarheden op te sporen.

Androidbeveiligingmobiel

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600