Google heeft op vrijdag een tussentijdse beveiligingsupdate voor zijn Android-besturingssysteem uitgebracht om een lek te dichten. Het bedrijf heeft niet gewacht op de maandelijkse patchronde omdat de kwetsbaarheid als 'kritiek' bestempeld is door het bedrijf.
De kwetsbaarheid krijgt de benaming CVE-2015-1805 mee. Apparaten met Linux-kernelversie 3.4, 3.10 en 3.14 zijn kwetsbaar. Versie 3.18 en nieuwer van de kernel vallen al buiten schot. Hoewel deze kwetsbaarheid al langer bekend was bij Google, heeft het bedrijf kort geleden van beveiligingsbedrijf Zimperium bewijs gekregen dat het lek ook vrij gemakkelijk uit te buiten valt. Met de exploit kan een malafide applicatie permanent elevated privileges, oftewel root-toegang verkijgen. Dat zou alleen opgelost kunnen worden door het besturingssysteem opnieuw te flashen. Google meldt er wel bij dat het niet heeft geobserveerd dat de exploit ook daadwerkelijk in het wild gebruikt wordt.
Het wachten is echter niet per se op de verschillende fabrikanten om de kernel-update voor hun apparaten uit te brengen. Google heeft zelf de malware-scanner van de Play Store bijgewerkt om apps die de kwetsbaarheid benutten eruit te filteren. Bovendien is de Verify Apps-functie van Android bijgewerkt. Deze detecteert de apps in kwestie wanneer ze buiten de Play Store om geïnstalleerd worden. Daarmee lijkt het risico in dit geval al aanzienlijk kleiner. Nexus-apparaten zullen binnen enkele dagen een update krijgen, belooft Google. Voor fabrikanten van non-Nexus-toestellen zijn per direct aosp-patches beschikbaar.