Beveiligingslek op Android: 66 procent getroffen
Er is een nieuw beveiligingslek in de kern van Linux aangetroffen, waardoor 66 procent van alle Android-eigenaars in de problemen kunnen komen. Het beveiligingsbedrijf Perception Point heeft het probleem ontdekt en hem geïndexeerd als CVE-2016-0728. Wat blijkt: dit probleem bestaat al drie jaar, sinds Linux (waar Android op gebaseerd is) versie 3.8 lanceerde. De kwetsbaarheid kan mensen met lokale toegang tot servers complete controle geven over de root van Android. Vanaf Android 4.4 KitKat kunnen apps (delen van) het OS mogelijk aansturen.
Gelukkig geeft het bedrijf ook aan dat er nog geen exploitaties van dit lek zijn geconstateerd, maar totdat Google en Linux met een oplossing voor het probleem komen, blijft het toch gevaarlijk. Gelukkig heeft Google inmiddels al aangegeven een oplossing voor het probleem te hebben klaargestoomd. Hieronder kun je de reactie van Adrian Ludwig, van Android Security, lezen.
We have prepared a patch, which has been released to open source and provided to partners today. This patch will be required on all devices with a security patch level of March 1 2016 or greater.
In addition, since this issue was released without prior notice to the Android Security Team, we are now investigating the claims made about the significance of this issue to the Android ecosystem. We believe that the number of Android devices affected is significantly smaller than initially reported.
We believe that no Nexus devices are vulnerable to exploitation by 3rd party applications. Further, devices with Android 5.0 and above are protected, as the Android SELinux policy prevents 3rd party applications from reaching the affected code. Also, many devices running Android 4.4 and earlier do not contain the vulnerable code introduced in linux kernel 3.8, as those newer kernel versions not common on older Android devices.
Reacties (0)