Tijdens de patchcyclus van april heeft Google 28 kwetsbaarheden in Android verholpen, waaronder een kritieke kwetsbaarheid waardoor telefoons met een Qualcomm-chipset op afstand zijn aan te vallen. Met de maandelijkse patches verhelpt Google zowel kwetsbaarheden in de eigen Androidcode als onderdelen van chipfabrikanten zoals Qualcomm, MediaTek en Arm.

Het gevaarlijkste beveiligingslek volgens Google in de eigen Androidcode van deze maand maakt het mogelijk voor een malafide app om zonder enige interactie van de gebruiker zijn rechten te verhogen. Zo zou de malafide app bijvoorbeeld toegang tot data kunnen krijgen waar die eigenlijk geen toegang toe zou moeten hebben of acties kunnen uitvoeren die de app eigenlijk niet hoort te kunnen uitvoeren. De impact van deze kwetsbaarheid (CVE-2024-23704) is door Google als 'high' bestempeld.

Daarnaast zijn er ook meerdere kwetsbaarheden in onderdelen van chipfabrikanten verholpen, waaronder één die kritiek is. Het gaat om een beveiligingslek in de 'Data Modem' van Androidtelefoons met een Qualcomm-chipset. Via dit beveiligingslek (CVE-2023-28582) kan een aanvaller op afstand, tijdens de verificatie van een Datagram Transport Layer Security (DTLS) protocol handshake, een buffer overflow veroorzaken en zo code uitvoeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Verdere details zijn niet gegeven.

Patchniveau

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.