De kwetsbaarheid van Google Pixel baart zelfs de Amerikaanse overheid zorgen

De laatste maandelijkse Pixel-beveiligingsupdate bracht een kwetsbaarheid aan het licht die misbruikt kon worden, en waar zelfs de Amerikaanse overheid zich zorgen over maakte. Ambtenaren werden aangespoord om hun telefoons binnen maximaal tien dagen te updaten of te stoppen met het gebruik ervan.

De Amerikaanse overheid waarschuwt federale werknemers om hun Pixel-apparaten te updaten of deze niet meer te gebruiken

De kwetsbaarheid in kwestie staat vermeld als CVE-2024-32896. In normale situaties kan dit onopgemerkt blijven, maar Google heeft een opmerking toegevoegd waarin het bijzondere belang wordt benadrukt. In de notitie staat: “Er zijn aanwijzingen dat CVE-2024-32896 mogelijk onder beperkte, gerichte exploitatie staat.” De vermelding wordt vermeld als ‘Hoge ernst’.

Meer specifieke details over de kwetsbaarheid heeft Google niet bekendgemaakt. De Amerikaanse overheid waarschuwde echter alle federale werknemers dat “Android Pixel een niet-gespecificeerde kwetsbaarheid in de firmware bevat die escalatie van bevoegdheden mogelijk maakt.” De term ‘privilege-escalatie’ verwijst naar het feit dat het misbruiken van de kwetsbaarheid het potentieel mogelijk maakt om de gegevens van de aangevallen persoon vast te leggen of er toegang toe te krijgen.

Het is opmerkelijk dat de kwetsbaarheid waar de Amerikaanse overheid zich zorgen over maakt een ‘zero-day exploit’ is. Dit betekent dat het al een tijdje aanwezig was, maar niet was gedetecteerd door de OS-ontwikkelaar of telefoonfabrikant. Daarom was er nog geen patch beschikbaar om dit te repareren.

Fix beschikbaar met de QPR3-update

Het is opmerkelijk dat de oplossing voor Google Pixel-apparaten beschikbaar is met de nieuwste Android 14 QPR3-update (juni). Het wordt daarom aanbevolen dat alle gebruikers van Pixel-apparaten hun apparaten updaten als ze dit nog niet hebben gedaan. Dat gezegd hebbende zegt het GrapheneOS-team dat de kwetsbaarheid ook aanwezig zou kunnen zijn op Android-toestellen van andere merken. De oplossing hiervoor zal echter beschikbaar zijn met Android 15.

Het is zeer onwaarschijnlijk dat uw apparaat het doelwit zal zijn van een aanval met behulp van de CVE-2024-32896-kwetsbaarheid. Google gebruikt in de vermelding immers de term ‘beperkte, gerichte exploitatie’. Het kan echter nooit kwaad om uw mobiele apparaat up-to-date te houden op het gebied van beveiliging. Je kunt je Pixel-apparaat updaten door naar Instellingen > Systeem > Software-updates te gaan.

Thijs Van der Does