Een beveiligingsbedrijf heeft vier ernstige kwetsbaarheden in de drivers van Qualcomm voor Android aangetroffen, die het mogelijk maken met een kwaadaardige app een toestel over te nemen. Voor een van de vier kwetsbaarheden is er nog geen patch.

 

Beveiligingsbedrijf Checkpoint heeft de bundel kwetsbaarheden QuadRooter gedoopt en details erover zondag gepresenteerd bij de Def Con-conferentie. Volgens het bedrijf lopen 'honderden miljoenen' toestellen risico, waaronder recente smartphones. De kwetsbaarheden zitten in de driver voor Qualcomm-chipsets en kunnen misbruikt worden door een kwaadaardige app te ontwikkelen die een aanvaller met verhoogde rechten toegang tot apparaten geeft en zo die systemen volledig over kan nemen. Een dergelijke app heeft geen speciale toestemming nodig om de kwetsbaarheden uit te kunnen buiten.

De onderdelen die kwetsbaar zijn betreffen de ipc_router, die de onderlinge communicatie tussen Qualcomm-onderdelen afhandelt, en ashmem, Androids subsysteem voor de allocatie van geheugen. Daarnaast zitten er ui te buiten weeffouten in de gpu-kerneldrivers kgsl en kgls_sync.

Checkpoint heeft Qualcomm in april gewaarschuwd, waarna de fabrikant patches heeft ontwikkeld en vrijgegeven voor fabrikanten van toestellen. Drie van de vier problemen zijn opgelost met de meest recentesecurity-update van Google, waarmee in ieder geval Nexus-apparaten geen risico meer lopen. Veel fabrikanten baseren hun beveiligingsupdates op die van Google, zodat ook voor veel andere toestellen inmiddels updates beschikbaar zijn.

Voor de vierde kwetsbaarheid is nog geen patch beschikbaar. Google publiceert deze in september. Aangezien Qualcomm zelf de code heeft vrijgegeven aan fabrikanten, is het mogelijk dat deze zelf patches ontwikkelen maar dit is niet zeker. Checkpoint heeft kritiek op het onduidelijke beveiligingsupdatebeleid met betrekking tot Android. Hierop is al langer kritiek, onder andere vanwege de ernstige Stagefright-kwetsbaarheid. Stagefright was voor Google aanleiding om te beginnen met de maandelijkse patchronde. Onder andere Samsung, LG en Sony proberen die updates zo snel mogelijk naar gebruikers te brengen.

Reacties mogelijk gemaakt door CComment