Heb je een Android toestel, update dan snel voor het te laat is!

Gepubliceerd op 7 januari 2021 om 08:00
Heb je een Android toestel, update dan snel voor het te laat is!

In de security update van januari 2021 heeft Google maar liefst 43 kwetsbaarheden weten te herstellen. Twee daarvan zijn door de zoekmachinegigant bestempeld als kritiek. Mocht je een melding krijgen dat de beveiligingsupdate van januari 2021 voor je klaarstaat op je smartphone of tablet, dan is het verstandig om deze direct te installeren.

Android Open Source Project

In tegenstelling tot iOS is Android opensource. Dat houdt in dat ieder bedrijf de broncode van het besturingssysteem mag gebruiken, er aanpassingen aan mag maken en zijn eigen versie ervan mag maken waarmee ze zich kan onderscheiden van de concurrentie. Om die reden biedt Android op Samsung-smartphones een hele andere gebruikerservaring dan op telefoons van bijvoorbeeld OnePlus, Nokia, Motorola of Sony. Het Android Open Source Project (AOSP) vormt de basis voor fabrikanten om Android naar hun hand te zetten.

Common Vulnerabilities and Exposures

Een groot voordeel van software dat opensource is, zeker bij een besturingssysteem zo groot en populair als Android, is dat een actieve community meekijkt en bugs, beveiligingslekken en andere kwetsbaarheden eerder aan het licht komen. Deze kwetsbaarheden noemen Google en beveiligingsexperts ook wel 'Common Vulnerabilities and Exposures (CVE)'. Het internetbedrijf uit Mountain View Californië publiceert iedere maand een nieuwe versie van het beveiligingsbulletin waar de belangrijkste kwetsbaarheden worden opgesomd.

Het eerste Security Bulletin van 2021 is inmiddels een feit. In de eerste editie van het nieuwe jaar noemt Google maar liefst 43 kwetsbaarheden in Android. Deze worden allemaal verholpen in de beveiligingsupdate van januari 2021. Door deze te installeren voorkom je dat hackers, cybercriminelen en andere kwaadwillenden deze beveiligingslekken kunnen misbruiken.

Zo snel mogelijk updaten

Zodra de nieuwste security patch voor je klaarstaat verschijnt er vanzelf een melding op je smartphone. Je kunt ook handmatig nagaan of hij al beschikbaar is. Om te controleren of je de nieuwste versie al hebt geïnstalleerd, ga je naar 'instellingen > Over je telefoon' en zoek je het Android-beveiligingsniveau. Daar vind je de datum waarop je voor het laatst een security update hebt geïnstalleerd.

Het kan zijn dat je beveiligingsupdate van januari 2021 niet of later ontvangt. Omdat het maken en uitrollen van beveiligingsupdates een arbeidsintensief en tijdrovend proces is, kiezen smartphonemakers er veelal voor om alleen voor de high-end modellen iedere maand een update ronde te houden. De meeste toestellen uit het middensegment ontvangen meestal eens per kwartaal een beveiligingsupdate. Na een aantal jaar -dat verschilt per fabrikant hoelang- stoppen producenten met ondersteuning van oudere toestellen om zich te richten op de nieuwste modellen.

Twee bugs kritiek

De meeste kwetsbaarheden of CVE’s die Google noemt in de security update van januari 2021, zijn aangemerkt als een hoog risico. Dat betekent dat je Android-smartphone of -tablet een groot risico loopt als je deze kwetsbaarheden niet verhelpt. Twee bugs zijn echter zo gevaarlijk dat Google ze als kritiek beschouwt. Het gaat om CVE-2021-0313 en CVE-2021-0316.

  • CVE-2021-0313

In het eerste geval gaat het om een kritiek lek in het Android Framework waardoor een hacker op afstand met een speciaal gemaakte code een permanente DDoS-aanval kan uitvoeren, waardoor je apparaat feitelijk onbruikbaar wordt. Google heeft hiervoor een patch uitgebracht voor Android-versie 8.0 (Oreo), 8.1 (Oreo), 9.0 (Pie), 10 en 11.

  • CVE-2021-0316

De tweede kritieke kwetsbaarheid is een kwetsbaarheid in het systeem dat een aanvaller in staat stelt om met een ‘speciaal geprepareerde transmissie een willekeurige code uit te voeren in de context van een geprivilegieerd proces’. Met andere woorden, door dit beveiligingslek is het mogelijk om een Android-telefoon of -tablet op afstand over te nemen. Ook hier geldt dat Google een patch beschikbaar heeft gesteld voor Android 8.0 en hoger.

MediaTek en Qualcomm

Google verhelpt met de maandelijkse updates niet alleen kwetsbaarheden in zijn eigen besturingssysteem. Onderdelen van chipmakers met beveiligingsproblemen komen eveneens aan bod. Google geeft deze kwetsbaarheden door aan de fabrikanten, die er vervolgens mee aan de slag gaan. In deze editie van Googles Security Bulletin worden 16 zwakheden genoemd van MediaTek en Qualcomm. Twee closed-source components van Qualcomm hebben het label ‘kritiek’ gekregen. Details hierover ontbreken in het beveiligingsbulletin van Google. Daarvoor verwijst de zoekmachinegigant naar de fabrikant.

Android Security Bulletin
PDF – 95,0 KB 535 downloads

Bron: source.android.com, vpngids.nl

Meer nieuwsberichten of info over ‘ddos’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Lees ook