Securityteam Google berispt eigen Android- en Pixel-teams

Het is niet zo maar een bug. In juni toonde Project Zero al aan dat er een 'exploit' circuleerde onder criminelen waarmee de big op een Pixel 6-toestel van Google zelf kon worden misbruikt. Met deze exploit krijgt een aanvaller schrijftoegang tot het readonly-geheugen van de smartphone. Met behulp van het misbruik van een aantal gerelateerde bugs krijgt een aanvaller de mogelijkheid native code tot expressie te brengen binnen de context van een app waardoor er uiteindelijk volledige controle over het systeem kan worden verkregen en over de gegevens van de gebruiker die op het toestel staan.

Het probleem is volgens Project Zero in de maanden juni en juli met ARM besproken waarna ARM de problemen in juli en augustus heeft opgelost. Er is een officieel security bulletin aangemaakt en er is patchcode gepubliceerd.

Na drie maanden nog niks

Nu weer drie maanden later zijn alle toestellen die Project Zero in bezit heeft nog steeds kwetsbaar. Het gaat niet alleen om de Pixel-smartphones, maar bijvoorbeeld ook om alle toestellen waar een Exynos SoC of een Mediatek SoC in is verwerkt. Het gaat om miljoenen toestellen van vrijwel elke toestelbouwer die het Android-platform gebruikt. Het Project Zero-team leest de eigen Google-teams op het eind van zijn blogpost de les door te stellen dat leveranciers - net als eindgebruikers - zich hard moeten maken voor het zo snel mogelijk patchen zodra het reparatiebestand beschikbaar is. Het 'patchgat' minimaliseren is voor leveranciers wellicht belangrijker omdat zij in de weg staan van eindgebruikers die hun toestellen veilig willen houden. 

De aangevallen Google-teams hebben wel weerwoord gegeven, onder meer bij Engadget. Ze geven aan dat de betreffende beveiligingsupdates nu getest worden voor Android- en Pixel-toestellen. De updates zullen de komende weken beschikbaar komen.