Google: Android-patches sneller beschikbaar maken voor eindgebruikers

Dit meldt Google in een blogpost waarin het cijfers deelt over zero-day kwetsbaarheden die in 2022 door aanvallers zijn uitgebuit. In totaal gaat het daarbij om 41 zero-day kwetsbaarheden. In 40% van de gevallen ging het om varianten op kwetsbaarheden die eerder zijn gerapporteerd.

Google wijst op een aantal incidenten waarbij een leverancier van bijvoorbeeld een hardwarecomponent een beveiligingsprobleem via een patch verhielp, en deze patch door smartphonefabrikanten pas laat beschikbaar is gesteld aan eindgebruikers. Gebruikers zijn hierdoor in de praktijk kwetsbaar voor beveiligingsproblemen die bekend zijn en waarvoor een oplossing beschikbaar is.

Kwetsbaarheid in Arm Mali-GPU

Als concreet voorbeeld noemt het Amerikaanse bedrijf een kwetsbaarheid in de Arm Mali-GPU. De kwetsbaarheid is in juli 2022 gemeld, waarna Arm in oktober een patch beschikbaar stelde. De patch werd vervolgens door smartphonefabrikanten echter pas in april 2023 daadwerkelijk verspreid naar eindgebruikers.

Google stelt dat dergelijke vertraging veel voorkomt. Het bedrijf roept leveranciers en fabrikanten daarom op patches en bugfixes sneller te verwerken in updates voor eindgebruikers.

Minder zero-days in webbrowsers uitgebuit

Uit de cijfers blijkt ook dat het aantal zero-days in webbrowsers die aanvallers uitbuiten terugloopt. Zij kiezen vaker voor het gebruik van zogeheten 0-click exploits, waarbij interactie van gebruikers niet nodig is.

Ook maakten aanvallers in 2022 vaker gebruik van dezelfde kwetsbaarheden. Daarnaast zetten aanvallers vaker kwetsbaarheden in die eerder zijn gerapporteerd door beveiligingsonderzoekers.

Meer informatie is hier beschikbaar.