De Amerikaanse overheid heeft een waarschuwing gegeven voor actieve aanvallen tegen Google Pixel-telefoons en roept federale overheidsinstanties op om de toestellen voor 2 mei te patchen. Vorige maand kwam Google met een beveiligingsbulletin waarin het stelde dat er aanwijzingen waren dat twee zerodaylekken, aangeduid als CVE-2021-22600 en CVE-2021-39793, bij beperkte, gerichte aanvallen waren ingezet. Verdere details over de aanvallen werden niet gegeven.

Het gaat om twee kwetsbaarheden waardoor een malafide app of aanvaller die al toegang tot een Pixel-telefoon heeft zijn rechten kan verhogen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid.

De nieuwste toevoeging bestaat uit acht kwetsbaarheden, waaronder de beveiligingslekken in de Google Pixel-telefoons. Eén van deze beveiligingslekken, CVE-2021-22600, bevindt zich in de Linux-kernel waar Android gebruik van maakt. De overige zes kwetsbaarheden op de lijst bevinden zich in software van QNAP, Microsoft, Checkbox, Telerik en WatchGuard.