Google heeft het jaarlijkse rapport over zero-days naar buiten gebracht. Daarin geeft Google’s Threat Analysis Group (TAG) aan dat er vaak te lang geen patch beschikbaar is voor Android-gebruikers. In totaal vond het onderzoeksteam 41 zero-days die “in the wild” geëxploiteerd zijn.
Als ontwikkelaar van Android heeft Google het eigen patchbeleid in handen, maar menig smartphonefabrikant komt met een eigen versie van het besturingssysteem. Zo heeft Samsung OneUI en maakt Nothing gebruik van NothingOS, maar er zijn talloze voorbeelden te bedenken. Na elke Android-update kan er wat tijd zitten tussen het uitbrengen van een patch voor ‘vanilla’ Android dat bijvoorbeeld op Pixel-telefoons te vinden is, en de Android-offshoots. Google kaart geen specifieke vendor aan die het patchbeleid niet op orde heeft.
Gedrag zoals die van een zero-day
De gevaarlijkste kwetsbaarheden zijn zero-days, oftewel gebreken in software die bekend zijn voordat de vendor er een patch voor heeft. Echter ziet Google dat n-days te vaak langer ongepatcht blijven op Android-varianten. De “n” in n-day staat voor het aantal dagen dat de kwetsbaarheid bij Google bekend is. Door de tijdspanne tussen ontdekking en patch ontstaat er een gevaar voor eindgebruikers dat hackers hun slag alsnog kunnen slaan.
Voor consumenten ontstaat dan het zeer ongewenste scenario dat men eigenlijk alleen kan stoppen met het gebruiken van een apparaat tot een patch beschikbaar is, meent Google in de securityblog.
Het onderzoeksteam hoopt dat er een aantal ontwikkelingen plaatsvinden om het security-niveau van Android te verbeteren. Allereerst wil het meer alomvattende en tijdige patching zien, om de dreiging van n-days in te perken. Daarnaast zou er volgens Google meer ruimte bij platforms moeten zijn voor algemene inperkingen van exploiteerbare elementen, waardoor hele soorten aan kwetsbaarheden verdwijnen. Tenslotte spreekt men de wens uit dat er meer transparantie en samenwerking ontstaat tussen vendors en security-partijen om technische kennis te delen over cyberdreigingen.
17 uur geleden
