Google heeft een zeer ernstig beveiligingslek aangepakt dat invloed had op de Android-kernel en dat actief werd misbruikt.
De kwetsbaarheid, die bekendstaat als CVE-2024-36971, wordt beschreven als een geval van externe code-uitvoering die invloed heeft op de kernel.
“Er zijn aanwijzingen dat CVE-2024-36971 mogelijk beperkt en gericht wordt misbruikt”, aldus de techgigant in zijn maandelijkse Android-beveiligingsbulletin voor augustus 2024.
Zoals gebruikelijk deelde het bedrijf geen aanvullende details over de aard van de cyberaanvallen die de fout misbruiken, of schreef het de activiteit toe aan een specifieke dreigingsactor of groep. Het is momenteel niet bekend of Pixel-apparaten ook door de bug worden getroffen.
Clement Lecigne van Google’s Threat Analysis Group (TAG) wordt gezien als degene die het lek heeft gemeld. Hij suggereert dat commerciële spywareleveranciers het lek waarschijnlijk misbruiken om Android-apparaten te infiltreren voor gerichte aanvallen.
De patch van augustus verhelpt in totaal 47 fouten, waaronder fouten die zijn geïdentificeerd in componenten van Arm, Imagination Technologies, MediaTek en Qualcomm.
Google heeft daarnaast twaalf problemen met privilege-escalatie, één bug met betrekking tot het vrijgeven van informatie en één DoS-probleem (Denial-of-Service) opgelost die van invloed waren op het Android Framework.
In juni 2024 maakte het zoekbedrijf bekend dat een probleem met verhoogde bevoegdheden in Pixel Firmware (CVE-2024-32896) werd misbruikt als onderdeel van beperkte en gerichte aanvallen.
Google vertelde The Hacker News dat het probleem niet alleen gevolgen heeft voor Pixel-apparaten, maar ook voor het bredere Android-platform. Google werkt samen met OEM-partners om de oplossingen waar mogelijk toe te passen.
Eerder had het bedrijf ook al twee beveiligingslekken in de bootloader en firmwarecomponenten (CVE-2024-29745 en CVE-2024-29748) gedicht die door forensische bedrijven werden misbruikt om gevoelige gegevens te stelen.
De ontwikkeling vindt plaats terwijl het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) CVE-2018-0824, een fout met betrekking tot de uitvoering van code op afstand die van invloed is op Microsoft COM voor Windows, heeft toegevoegd aan zijn catalogus met bekende misbruikte kwetsbaarheden (KEV). Hierdoor moeten federale instanties uiterlijk 26 augustus 2024 oplossingen toepassen.
De toevoeging volgt op een rapport van Cisco Talos dat aangaf dat het lek door een Chinese staatscrimineel met de naam APT41 werd gebruikt als wapen in een cyberaanval die gericht was op een niet bij naam genoemd onderzoeksinstituut van de Taiwanese overheid om lokale privileges te vergroten.
