Google heeft met de laatste beveiligingsupdates voor Android ook een actief misbruikt zerodaylek verholpen. Iets dat in eerste instantie niet in het beveiligingsbulletin van het techbedrijf stond vermeld. Het gaat om een kwetsbaarheid in de Android-kernel waardoor een aanvaller zijn code met systeemrechten kan uitvoeren, zonder dat er enige interactie van het slachtoffer is vereist. Zo kan er bijvoorbeeld spyware op het systeem worden geïnstalleerd die volledige controle over het toestel heeft.

Security.NL berichtte eerder deze week over de patchronde van mei voor Androidtoestellen. Destijds werd misbruik van de kwetsbaarheid, aangeduid als CVE-2023-0266, nog niet door Google aangegeven. Het techbedrijf heeft het beveiligingsbulletin echter aangepast en laat nu weten dat er actief misbruik van de kwetsbaarheid plaatsvindt. Het beveiligingslek alleen is niet voldoende om een systeem op afstand over te nemen en zou bijvoorbeeld moeten worden gecombineerd met een kwetsbaarheid in de browser of ander onderdeel van het besturingssysteem. Een andere mogelijke aanvalsvector is via een app die het slachtoffer zelf installeert.

Afgelopen maart liet Google zelf al weten dat de kwetsbaarheid was gebruikt bij zeroday-aanvallen. Die aanvallen waren gericht tegen gebruikers van de Samsung Internet Browser en combineerden het lek in de Android-kernel met kwetsbaarheden in Chromium en de Mali GPU. Doelwitten in de Verenigde Arabische Emiraten ontvingen een sms-bericht met een malafide link. Wanneer de link werd geopend raakte de Androidtelefoon besmet met spyware. Google heeft updates voor Android uitgebracht. Toestellen die de update voor het zerodaylek hebben ontvangen hebben als patch level "2023-05-05".