Google waarschuwt voor een actief aangevallen kwetsbaarheid in Androidtelefoons, alsmede een kritiek beveiligingslek waardoor toestellen op afstand zonder interactie van gebruikers zijn over te nemen. Er zijn updates uitgebracht om de problemen te verhelpen. Tijdens de patchronde van maart zijn in totaal 129 kwetsbaarheden gepatcht, waaronder één aangevallen kwetsbaarheid en tien beveiligingslekken die als kritiek zijn aangemerkt.

Het aangevallen beveiligingslek (CVE-2026-21385) bevindt zich in een Androidtelefoons die gebruikmaken van Qualcomm-chipsets. Het gaat om het onderdeel dat verantwoordelijk is voor de beeldweergave. Via de kwetsbaarheid kan een aanvaller die al toegang tot een toestel heeft een integer overflow veroorzaken. Verdere details zijn niet door Google of Qualcomm gegeven.

Het beveiligingslek werd door Google gevonden en aan Qualcomm gerapporteerd. De impact van CVE-2026-21385 is als 'high' beoordeeld. Kwetsbaarheden die in deze categorie vallen maken het mogelijk voor aanvallers om beveiligingsmaatregelen te omzeilen, toegang tot privégegevens te krijgen of rechten te verhogen, zonder dat hiervoor enige interactie van gebruikers voor is vereist.

Google geeft geen details over de waargenomen aanvallen, zoals waarvoor het lek werd gebruikt, wie allemaal doelwit waren en sinds wanneer de aanvallen plaatsvinden. In totaal zijn meer dan 230 Qualcomm-chipsets kwetsbaar. Om misbruik van het probleem te kunnen maken moet een aanvaller al toegang tot de telefoon hebben. Dit kan via een andere kwetsbaarheid die remote code execution mogelijk maakt of wanneer gebruikers een malafide app installeren.

Kritieke kwetsbaarheden

Daarnaast zijn er ook updates voor tien kritieke kwetsbaarheden verschenen. Eén daarvan is volgens Google het gevaarlijkst, het gaat om CVE-2026-0006. Dit beveiligingslek in het System-onderdeel van Android 16 maakt remote code execution op telefoons mogelijk, zonder interactie van gebruikers. Wederom geeft Google geen verdere informatie over het probleem. Drie kritieke kwetsbaarheden in de Android-kernel maken het mogelijk voor aanvallers die al toegang hebben om hun rechten naar die van System te verhogen, waardoor vergaande controle over de telefoon wordt verkregen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de maart-updates ontvangen zullen '2026-03-01' of '2026-03-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van maart aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 14, 15, 16 en 16-qpr2.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit. Google maakte vorige maand bekend dat 40 procent van de Androidtelefoons geen updates meer ontvangt.