Voor het eerst sinds augustus 2015 heeft Google geen beveiligingsupdates voor Android uitgebracht deze maand. Echter is de kust niet veilig: Qualcomm waarschuwt voor een kritieke kwetsbaarheid in GPS-onderdelen van meer dan honderd chipsets.
Google publiceerde gisteren het securitybulletin van juli waarin het bedrijf laat weten geen securitypatches uit te brengen. Een reden wordt niet gegeven. Ook Pixel-telefoons krijgen deze maand geen beveiligingsupdates, ondanks dat Google in juni nog Android 16 lanceerde. Klaarblijkelijk is er nog geen kwetsbaarheid ontdekt of opgelost.
Sinds augustus 2015 bracht Google elke maand securitybulletins uit waarin Android-kwetsbaarheden werden verholpen. De maandelijkse patches bevatten vaak ook updates van derde partijen, vooral chipfabrikanten die fixes voor hun code uitbrengen. Deze leveranciers komen, zoals Qualcomm (daarover hieronder meer), ook met hun eigen meldingen. Wellicht dat de tijdlijn van Google en Qualcomm net verkeerd liep om een patch voorbereid te hebben voor deze maand.
Toch kwetsbaarheden
Qualcomm heeft ondertussen in het eigen bulletin van juli wel een securitymelding van betekenis. Het waarschuwt voor een kritieke kwetsbaarheid: CVE-2025-21450. Het gaat om een foutieve authenticatie in GPS-onderdelen van meer dan honderd verschillende chipsets. Qualcomm noemt het een “cryptografisch probleem” tijdens het downloaden via onveilige verbindingen, maar geeft geen verdere details.
De impact krijgt een score van 9,1 op een schaal van 1 tot 10. Naast Qualcomm maakt ook Samsung melding van CVE-2025-21450 in het eigen bulletin. Zo blijkt opnieuw dat er op Android wel degelijk elke maand nieuwe gevaren zijn, ook als Google voor het eerst in een decennium een adempauze inlast.