Close-up van Android-poppetje met moersleutel

Google fixt 43 kwetsbaarheden in eerste patchronde van 2021

Laatst bijgewerkt: 6 januari 2021
Leestijd: 3 minuten, 26 seconden

In de security update van januari 2021 heeft Google maar liefst 43 kwetsbaarheden weten te herstellen. Twee daarvan zijn door de zoekmachinegigant bestempeld als kritiek. Mocht je een melding krijgen dat de beveiligingsupdate van januari 2021 voor je klaarstaat op je smartphone of tablet, dan is het verstandig om deze direct te installeren.

Dat schrijft Google in de meest recente editie van zijn Security Bulletin.

Dit is de reden waarom kwetsbaarheden snel aan het licht komen bij Android

In tegenstelling tot iOS is Android opensource. Dat houdt in dat ieder bedrijf de broncode van het besturingssysteem mag gebruiken, er aanpassingen aan mag maken en zijn eigen versie ervan mag maken waarmee ze zich kan onderscheiden van de concurrentie. Om die reden biedt Android op Samsung-smartphones een hele andere gebruikerservaring dan op telefoons van bijvoorbeeld OnePlus, Nokia, Motorola of Sony. Het Android Open Source Project AOSP) vormt de basis voor fabrikanten om Android naar hun hand te zetten.

Een groot voordeel van software dat opensource is, zeker bij een besturingssysteem zo groot en populair als Android, is dat een actieve community meekijkt en bugs, beveiligingslekken en andere kwetsbaarheden eerder aan het licht komen. Deze kwetsbaarheden noemen Google en beveiligingsexperts ook wel Common Vulnerabilities and Exposures (CVE). Het internetbedrijf uit Mountain View Californië publiceert iedere maand een nieuwe versie van het beveiligingsbulletin waar de belangrijkste kwetsbaarheden worden opgesomd.

Beveiligingsupdate van januari 2021 verhelpt 43 bugs

Het eerste Security Bulletin van 2021 is inmiddels een feit. In de eerste editie van het nieuwe jaar noemt Google maar liefst 43 kwetsbaarheden in Android. Deze worden allemaal verholpen in de beveiligingsupdate van januari 2021. Door deze te installeren voorkom je dat hackers, cybercriminelen en andere kwaadwillenden deze beveiligingslekken kunnen misbruiken.

Zodra de nieuwste security patch voor je klaarstaat verschijnt er vanzelf een melding op je smartphone. Je kunt ook handmatig nagaan of hij al beschikbaar is. Om te controleren of je de nieuwste versie al hebt geïnstalleerd, ga je naar instellingen > Over je telefoon en zoek je het Android-beveiligingsniveau. Daar vind je de datum waarop je voor het laatst een security update hebt geïnstalleerd.

Het kan zijn dat je beveiligingsupdate van januari 2021 niet of later ontvangt. Omdat het maken en uitrollen van beveiligingsupdates een arbeidsintensief en tijdrovend proces is, kiezen smartphonemakers er veelal voor om alleen voor de high-end modellen iedere maand een updateronde te houden. De meeste toestellen uit het middensegment ontvangen meestal eens per kwartaal een beveiligingsupdate. Na een aantal jaar -dat verschilt per fabrikant hoelang- stoppen producenten met ondersteuning van oudere toestellen om zich te richten op de nieuwste modellen.

Deze twee kritieke kwetsbaarheden verhelpt de beveiligingsupdate van januari 2021

De meeste kwetsbaarheden of CVE’s die Google noemt in de security update van januari 2021, zijn aangemerkt als een hoog risico. Dat betekent dat je Android-smartphone of -tablet een groot risico loopt als je deze kwetsbaarheden niet verhelpt. Twee bugs zijn echter zo gevaarlijk dat Google ze als kritiek beschouwt. Het gaat om CVE-2021-0313 en CVE-2021-0316.

In het eerste geval gaat het om een kritiek lek in het Android Framework waardoor een hacker op afstand met een speciaal gemaakte code een permanente DDoS-aanval kan uitvoeren, waardoor je apparaat feitelijk onbruikbaar wordt. Google heeft hiervoor een patch uitgebracht voor Android-versie 8.0 (Oreo), 8.1 (Oreo), 9.0 (Pie), 10 en 11.

CVE-2021-0316 is een kwetsbaarheid in het systeem dat een aanvaller in staat stelt om met een ‘speciaal geprepareerde transmissie een willekeurige code uit te voeren in de context van een geprivilegieerd proces’. Met andere woorden, door dit beveiligingslek is het mogelijk om een Android-telefoon of -tablet op afstand over te nemen. Ook hier geldt dat Google een patch beschikbaar heeft gesteld voor Android 8.0 en hoger.

Google detecteert 16 kwetsbaarheden bij chipfabrikanten

Google verhelpt met de maandelijkse updates niet alleen kwetsbaarheden in zijn eigen besturingssysteem. Onderdelen van chipmakers met beveiligingsproblemen komen eveneens aan bod. Google geeft deze kwetsbaarheden door aan de fabrikanten, die er vervolgens mee aan de slag gaan. In deze editie van Googles Security Bulletin worden 16 zwakheden genoemd van MediaTek en Qualcomm. Twee closed-source components van Qualcomm hebben het label ‘kritiek’ gekregen. Details hierover ontbreken in het beveiligingsbulletin van Google. Daarvoor verwijst de zoekmachinegigant naar de fabrikant.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen