Google werd niet ingelicht over Linux-lek in Android

[Captain Kirk]

Het beveiligingsbedrijf dat deze week een beveiligingslek in Linux openbaar maakte en stelde dat ook 66% van de Android-toestellen kwetsbaar was heeft Google niet van tevoren ingelicht. Dat stelt Adrian Ludwig van het Android-ontwikkelteam. Ook ligt het aantal kwetsbare Android-toestellen volgens hem veel lager.

Beveiligingsbedrijf Perception Point had een kwetsbaarheid in de Linux-kernel ontdekt waardoor een lokale aanvaller rootrechten op het systeem kan krijgen. Om de kwetsbaarheid uit te buiten moet een aanvaller lokale toegang tot het systeem hebben, of moet er bijvoorbeeld een kwaadaardige app zijn geïnstalleerd. Het probleem speelde in Linux-kernel 3.8 en nieuwer.

Hoewel softwareontwikkelaar Red Hat wel van tevoren over de kwetsbaarheid werd geïnformeerd, kreeg het Android-ontwikkelteam niets te horen. Ludwig stelt dat Google inmiddels een patch heeft ontwikkeld die onder partners is verspreid. "Deze patch is verplicht voor alle toestellen met een patchniveau van 1 maart 2016 of later", zo laat Ludwig weten. Verder merkt hij op dat veel minder Android-toestellen kwetsbaar zijn dan Perception Point beweert.

Zo zouden Nexus-toestellen niet door applicaties van derden via de kwetsbaarheid kunnen worden aangevallen. Ook zijn toestellen met Android 5.0 en nieuwer dankzij Android SELinux beschermd. Verder zouden ook veel toestellen met Android 4.4 en ouder de kwetsbare code niet bevatten. De kwetsbaarheid werd namelijk in Linux-kernel 3.8 geïntroduceerd, en deze nieuwere Linux-kernels komen niet veel voor op oudere Android-toestellen.

 

 

bron: security.nl