Google: fabrikanten smartphones moeten beveiligingsupdates sneller uitrollen

Als Android-ontwikkelaar publiceert Google jaarlijks een Year in Review of 0-days, dat ingaat op opgeloste zerodays in het Android-besturingssysteem. Volgens Google bestaan patch gaps in de meeste upstream/downstream-samenwerkingen op platformen, maar is Android een negatieve uitschieter. Dat komt volgens Google ook door de soms gebrekkige communicatie met ketenpartners.

Zes maanden wachten

Ter onderbouwing van de claims haalt Google verschillende voorbeelden aan van kwetsbaarheden. Zo werd er in juli 2022 een kwetsbaarheid in een ARM Mali gpu gerapporteerd aan het Android Security-team. Dat besloot een maand later om ARM te informeren, waarna ARM de kwetsbaarheid in oktober oploste. In november dook er een exploit in het wild op, waarmee de kwetsbaarheid dus veel gevaarlijker werd.

Vervolgens duurde het echter tot april 2023 voordat Google de patch opnam in het Android Security Bulletin. Die update rolde daarna uit naar Android-smartphones van bekende en minder bekende merken. Kortom: pas zes maanden nadat ARM de bug had opgelost, verscheen de patch op toestellen van eindgebruikers.

Een tweede voorbeeld van Google beschrijft een kwetsbaarheid in de Samsung Internet-browser, mede omdat die browser een zeven maanden oude versie van Chromium gebruikte. Deze zeroday werd ook in het wild misbruikt. Nadat ARM een patch had vrijgegeven, duurde het nog zeventien maanden voordat die opgenomen werd in het Android Security Bulletin.

Google pleit voor meer snelheid in de hele industrie, zodat gebruikers belangrijke beveiligingsupdates eerder ontvangen.