Androidtelefoons zijn kwetsbaar voor aanvallen met malafide Flac-bestanden. Het openen van een dergelijk audiobestand maakt het mogelijk voor een aanvaller om willekeurige code op het toestel uit te voeren. Google heeft beveiligingsupdates voor Android uitgerold waarmee het beveiligingslek wordt verholpen.
Tijdens de patchronde van april heeft Google in totaal 44 kwetsbaarheden gerepareerd. Het gaat om beveiligingslekken in de eigen Androidcode en kwetsbaarheden in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. De nu verholpen lekken in de Androidcode maken het mogelijk voor malafide apps om zonder interactie van gebruikers en zonder specifieke permissies hun rechten te verhogen. Misbruik is alleen mogelijk voor een aanvaller of app die al toegang tot een Androidtelefoon heeft.
Daarnaast zijn er ook meerdere kwetsbaarheden in onderdelen van chipfabrikant Qualcomm verholpen. Zes daarvan zijn beoordeeld als kritiek. Vijf daarvan zijn op afstand door een aanvaller te misbruiken. De grootste impact hebben twee kwetsbaarheden aangeduid als CVE-2021-35104 en CVE-2021-30341. De impact van deze lekken is op een schaal van 1 tot en 10 beoordeeld met een 9.8.
CVE-2021-35104 bevindt zich in de Qualcomm-code gebruikt voor het afspelen van audio. Bij het afspelen van een malafide Flac-bestand kan er een buffer overflow ontstaan waardoor een aanvaller code op het toestel kan uitvoeren. Een buffer overflow doet zich ook voor in het geval van CVE-2021-30341, alleen moet er dan een speciaal geprepareerd DSM-pakket naar de datamodem worden gestuurd. De Flac-kwetsbaarheid is aanwezig in 175 verschillende chipsets van Qualcomm, het lek in de datamodem raakt 119 chipsets.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen ‘2022-04-01’ of ‘2022-04-05’ als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Bron: Security.nl