Googles Project Zero ontdekt ernstig lek in Android

Zerodaykwetsbaarheid

Een onderzoeker van het Project Zero-beveiligingsteam van Google heeft hier melding gedaan van het lek in Android. Het gaat om een zogenaamde zerodaykwetsbaarheid in Android. Deze ernstige kwetsbaarheid maakt gebruik van beveiligingsproblemen in Android om bijvoorbeeld een telefoon over te nemen. Hiervoor is enkel de installatie van een kwaadaardige app vereist. Besmetting is ook mogelijk via een browser. Hiervoor dient de aanvaller misbruik te maken van een tweede kwetsbaarheid.

Details over deze bug zou door het Israëlische hackbedrijf NSO aangekocht zijn. De NSO Group is een bedrijf dat onder andere spyware maakt die overheden kunnen inzetten om in te zetten tegen terrorisme. Helaas is het bedrijf al eens in opspraak geweest omdat de spyware ingezet werd tegen activisten, journalisten en advocaten. Dit gebeurde voornamelijk in landen die het niet zo nauw nemen met de mensenrechten.

Kwetsbare telefoons

Ars Technica heeft een lijst van telefoons gepubliceerd die door de zerodaykwetsbaarheid volledig overgenomen kunnen worden. Het gaat om de volgende telefoons:

- Pixel 1
- Pixel 1 XL
- Pixel 2
- Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- OPPO A3
- Moto Z3
- Oreo LG phones
- Samsung S7
- Samsung S8
- Samsung S9

Beveiligingsupdates

Gelukkig is de kans dat eigenaren van deze telefoons slachtoffer zijn geworden klein. Het Israëlische hackbedrijf richt zich voornamelijk op specifieke doelwitten. Toch raden we iedereen te allen tijde aan om beschikbare beveiligingsupdates zo snel mogelijk te installeren. Dit lek zal met de beveiligingsupdate van oktober gedicht worden. Deze update zal een dezer dagen verschijnen.