De onlangs ontdekte kwetsbaarheid in de Linux-kernel is volgens Google aanwezig in een 'significant kleiner' aantal toestellen. De ontdekkers schatten de hoeveelheid kwetsbare Android-apparaten in eerste instantie op 66 procent. Een patch zou vanaf 1 maart beschikbaar zijn.
Android-beveiligingshoofd Adrian Ludwig meldt in een blogpost dat Google de patch voor de kwetsbaarheid inmiddels beschikbaar heeft gemaakt. Deze moet aanwezig zijn op alle toestellen die vanaf 1 maart een beveiligingsupdate uitvoeren. Hij voegt toe dat Google niet van mening is dat 66 procent van alle Android-toestellen kwetsbaar is, maar dat het om een 'significant kleiner' aantal gaat.
Dit baseert hij op het feit dat Nexus-toestellen niet kwetsbaar zouden zijn voor gebruik van de kwetsbaarheid door applicaties van derden. Daarnaast zouden apparaten met Android 5.0 of hoger beschermd zijn door SELinux. Daar komt bij dat volgens Ludwig veel toestellen met Android 4.4 niet de kwetsbare code bevatten, omdat nieuwere Linux-kernels niet vaak voorkomen op oudere apparaten. De kwetsbaarheid komt voor in Linux-kernel 3.8 of hoger.
Ludwig stelt ook teleurgesteld te zijn dat de ontdekkers van de bug, Perception Point, niet eerst het Android-team hebben benaderd voordat zij het lek publiceerden. De kwetsbaarheid geeft een lokale aanvaller de mogelijkheid om via de Linux-keyring-functie code uit te voeren in de kernel en daarmee root-toegang te verkrijgen.