Google slaat alarm over actief misbruikt lek in Qualcomm-chips voor Android
Google heeft inmiddels, in samenwerking met Qualcomm, een patch uitgebracht. Die zit vervat in de beveiligingsupdate van maart 2026. De kwetsbaarheid, CVE-2026-21385, kreeg een hoge CVSS-score, wat de ernst ervan onderstreept. Lekken met zo’n hoog risicoprofiel zijn doorgaans eenvoudig te misbruiken en vereisen vaak geen interactie van de gebruiker.
Lek in displaysoftware
Specifieke details over het lek worden niet gedeeld. Wel is bekend dat het zich bevindt in Qualcomms software voor displayaansturing. Volgens Google moet een aanvaller al toegang hebben tot het toestel. Zodra die toegang er is, kan het lek worden misbruikt om een ‘integer overflow’ te veroorzaken.
Dat is een aanval waarbij de maximale capaciteit van een integer-variabele wordt overschreden. Dat kan leiden tot systeeminstabiliteit of onverwacht gedrag, maar het kan ook worden ingezet om malafide code uit te voeren op het toestel.
De vereiste voorafgaande toegang maakt de aanval complexer, maar zeker niet onmogelijk. Het installeren van een malafide app kan voor een aanvaller al voldoende zijn om die toegang te verkrijgen.
Meer dan 230 Snapdragon-chipsets getroffen
Google en Qualcomm melden dat de kwetsbaarheid meer dan 230 Snapdragon-chipsets treft. Met andere woorden: het gaat potentieel om tientallen, mogelijk zelfs honderden miljoenen Android-telefoons wereldwijd. De exacte chipsets waar het lek bij speelt, worden niet publiek bekendgemaakt.
Duidelijk is wel dat het lek al actief wordt misbruikt. Door wie en op welke schaal dat gebeurt, laat Google in het midden.
De oplossing wordt uitgerold via de beveiligingsupdate van maart 2026. Zowel patchniveau ‘2026-03-01’ als ‘2026-03-05’ bevatten de update. Die patch is beschikbaar voor Android-versies 14 tot en met 16. Oudere toestellen vallen buiten de boot, al is de kans groot dat veel van die apparaten sowieso geen beveiligingsupdates meer ontvangen.
Tweede lek treft Android 16
De beveiligingsupdate van maart bevat nog een tweede kwetsbaarheid: CVE-2026-0006. Die treft specifiek Android 16 en maakt het mogelijk om op afstand code uit te voeren op een toestel, zonder dat de gebruiker iets hoeft te doen.
Volgens Google wordt het lek veroorzaakt door ‘drie kritieke kwetsbaarheden’ in de Android-kernel. Verdere details wil het echter nog niet vrijgeven.
Het is nu aan de fabrikant van je Android-telefoon om de beveiligingspatches uit te rollen. Dat kan enkele weken tot maanden op zich laten wachten, afhankelijk van hoe vaak je telefoon bijgewerkt wordt. Google Pixel- en Samsung-telefoons komen doorgaans als eerste aan de beurt.
