Nieuws
image

Androidtelefoons door kritiek lek kwetsbaar voor permanente dos-aanval

dinsdag 7 april 2026, 14:52 door Redactie, 9 reacties

Een kritieke kwetsbaarheid in Android maakt het mogelijk om een permanente lokale denial of service (dos)-aanval op telefoons uit te voeren, zo laat Google weten. Er zijn beveiligingsupdates beschikbaar gemaakt om het probleem te verhelpen. Tijdens de patchronde van april heeft Google in totaal vijf kwetsbaarheden verholpen. Eén daarvan is er als kritiek aangemerkt. Het gaat om CVE-2026-0049, aanwezig in het Android Framework.

Wat CVE-2026-0049 doet opvallen is dat het kan leiden tot een lokale denial of service, zonder dat hiervoor enige interactie van gebruikers is vereist. Dergelijke kwetsbaarheden worden zelden als kritiek aangemerkt. Google gebruikt deze beoordeling alleen voor beveiligingslekken waardoor een 'permanente denial of service' mogelijk is, waarvoor als oplossing het gehele besturingssysteem opnieuw moet worden geïnstalleerd of een fabrieksreset is vereist. Verdere details over het lek zijn niet door Google gegeven.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2026-04-01' of '2026-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 14, 15, 16 en 16-qpr2.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit. Google maakte onlangs nog bekend dat 40 procent van de Androidtelefoons geen updates meer ontvangt.

Reacties (9)
Reageer met quote
07-04-2026, 15:21 door Anoniem
Dit is gelukkig in Januari al gepatched in GrapheneOS;
https://grapheneos.org/releases#2026012800
Reageer met quote
07-04-2026, 16:29 door Anoniem
Door Anoniem: Dit is gelukkig in Januari al gepatched in GrapheneOS;
https://grapheneos.org/releases#2026012800

Dat is netjes!
Reageer met quote
07-04-2026, 19:46 door Anoniem
Door Anoniem: Dit is gelukkig in Januari al gepatched in GrapheneOS;
https://grapheneos.org/releases#2026012800
Sterker nog, de patches tot en met Oktober 2026 zijn al beschikbaar!
Kwetsbaarheden zijn bij Google allang bekend, Google brengt de patches maanden vertraagd uit, maar met de security preview patches van GtapheneOS heeft men de keuze deze te installeren.
Helaas houdt Google de broncode achterwege dus henben mensen de keuze om deze zonder beschikbare broncode eerder te installeren op GrapheneOS, of kan men kiezen voor de vertraging maar met open bron.
De security preview releases kan men aan/uit zetten in settings.
Aan te raden is deze aan te laten staan.

Bron:
https://grapheneos.org/releases#2026040600
"All of the Android 16 security patches from the current May 2026, June 2026, July 2026, August 2026, September 2026 and October 2026 Android Security Bulletins are included in the 2026040601 security preview release. List of additional fixed CVEs:"
Reageer met quote
08-04-2026, 09:22 door Anoniem
Door Anoniem:
Door Anoniem: Dit is gelukkig in Januari al gepatched in GrapheneOS;
https://grapheneos.org/releases#2026012800
Sterker nog, de patches tot en met Oktober 2026 zijn al beschikbaar!
Kwetsbaarheden zijn bij Google allang bekend, Google brengt de patches maanden vertraagd uit, maar met de security preview patches van GtapheneOS heeft men de keuze deze te installeren.
Helaas houdt Google de broncode achterwege dus henben mensen de keuze om deze zonder beschikbare broncode eerder te installeren op GrapheneOS, of kan men kiezen voor de vertraging maar met open bron.
De security preview releases kan men aan/uit zetten in settings.
Aan te raden is deze aan te laten staan.

Bron:
https://grapheneos.org/releases#2026040600
"All of the Android 16 security patches from the current May 2026, June 2026, July 2026, August 2026, September 2026 and October 2026 Android Security Bulletins are included in the 2026040601 security preview release. List of additional fixed CVEs:"

En dan moeten we bij Android telefoons nog een poos wachten tot de fabrikant eens een update uitbrengt.
Voor mijn goedkopere Samsung normaal gesproken 3 maanden of meer.
Dan willen de banken nog dat ik een veilige telefoon gebruik zoals Android of Ios.
Reageer met quote
08-04-2026, 10:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit is gelukkig in Januari al gepatched in GrapheneOS;
https://grapheneos.org/releases#2026012800
Sterker nog, de patches tot en met Oktober 2026 zijn al beschikbaar!
Kwetsbaarheden zijn bij Google allang bekend, Google brengt de patches maanden vertraagd uit, maar met de security preview patches van GtapheneOS heeft men de keuze deze te installeren.
Helaas houdt Google de broncode achterwege dus henben mensen de keuze om deze zonder beschikbare broncode eerder te installeren op GrapheneOS, of kan men kiezen voor de vertraging maar met open bron.
De security preview releases kan men aan/uit zetten in settings.
Aan te raden is deze aan te laten staan.

Bron:
https://grapheneos.org/releases#2026040600
"All of the Android 16 security patches from the current May 2026, June 2026, July 2026, August 2026, September 2026 and October 2026 Android Security Bulletins are included in the 2026040601 security preview release. List of additional fixed CVEs:"

En dan moeten we bij Android telefoons nog een poos wachten tot de fabrikant eens een update uitbrengt.
Voor mijn goedkopere Samsung normaal gesproken 3 maanden of meer.
Dan willen de banken nog dat ik een veilige telefoon gebruik zoals Android of Ios.
Inderdaad. Helaas worden GrapheneOS telefoons soms door de app van banken geweigert omdat ze geen gebruik maken van Google Play Integrity Services. GrapheneOS gebruikt in plaats daarvan de onafhankelijke Hardware Attestation.
Enkele uitzonderingen daargelaten zoals de Triodos bank die de moeite nam om aanpassingen te maken.
https://www.security.nl/posting/897273/Triodos+laat+bank-app+na+aanpassingen+weer+op+GrapheneOS+werken
Veel mensen willen begrijpelijkerwijs niet afhankelijk van big tech zoals Google zijn, maar dat vereist soms wat opoffering van mogelijkheden. Ik wil zelf geen of zo min mogelijk proprietaire software op mijn apparaat hebben, en geen trackers, dus is een bank app uitgesloten voor mij. (Ik maak gebruik van de bank site en een identifyer apparaat)
De Bunq app gaat zelfs zo ver gegevens te delen met de Chinese Huawei Mobile Services (HMS) Core (het Chinese leger) voor location tracking en advertisement+analytics.
https://reports.exodus-privacy.eu.org/nl/reports/com.bunq.android/latest/#trackers
Soms is het een omgekeerde wereld...
Reageer met quote
08-04-2026, 15:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit is gelukkig in Januari al gepatched in GrapheneOS;
https://grapheneos.org/releases#2026012800
Sterker nog, de patches tot en met Oktober 2026 zijn al beschikbaar!
Kwetsbaarheden zijn bij Google allang bekend, Google brengt de patches maanden vertraagd uit, maar met de security preview patches van GtapheneOS heeft men de keuze deze te installeren.
Helaas houdt Google de broncode achterwege dus henben mensen de keuze om deze zonder beschikbare broncode eerder te installeren op GrapheneOS, of kan men kiezen voor de vertraging maar met open bron.
De security preview releases kan men aan/uit zetten in settings.
Aan te raden is deze aan te laten staan.

Bron:
https://grapheneos.org/releases#2026040600
"All of the Android 16 security patches from the current May 2026, June 2026, July 2026, August 2026, September 2026 and October 2026 Android Security Bulletins are included in the 2026040601 security preview release. List of additional fixed CVEs:"

En dan moeten we bij Android telefoons nog een poos wachten tot de fabrikant eens een update uitbrengt.
Voor mijn goedkopere Samsung normaal gesproken 3 maanden of meer.
Dan willen de banken nog dat ik een veilige telefoon gebruik zoals Android of Ios.
Inderdaad. Helaas worden GrapheneOS telefoons soms door de app van banken geweigert omdat ze geen gebruik maken van Google Play Integrity Services. GrapheneOS gebruikt in plaats daarvan de onafhankelijke Hardware Attestation.
Enkele uitzonderingen daargelaten zoals de Triodos bank die de moeite nam om aanpassingen te maken.
https://www.security.nl/posting/897273/Triodos+laat+bank-app+na+aanpassingen+weer+op+GrapheneOS+werken
Veel mensen willen begrijpelijkerwijs niet afhankelijk van big tech zoals Google zijn, maar dat vereist soms wat opoffering van mogelijkheden. Ik wil zelf geen of zo min mogelijk proprietaire software op mijn apparaat hebben, en geen trackers, dus is een bank app uitgesloten voor mij. (Ik maak gebruik van de bank site en een identifyer apparaat)
De Bunq app gaat zelfs zo ver gegevens te delen met de Chinese Huawei Mobile Services (HMS) Core (het Chinese leger) voor location tracking en advertisement+analytics.
https://reports.exodus-privacy.eu.org/nl/reports/com.bunq.android/latest/#trackers
Soms is het een omgekeerde wereld...
Is dat wel veilig, bankieren op je PC met apparaatje (scanner/identifieër)
heb je dan niet risico phishing en domeinnaam vervalsing ?
Reageer met quote
08-04-2026, 21:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit is gelukkig in Januari al gepatched in GrapheneOS;
https://grapheneos.org/releases#2026012800
Sterker nog, de patches tot en met Oktober 2026 zijn al beschikbaar!
Kwetsbaarheden zijn bij Google allang bekend, Google brengt de patches maanden vertraagd uit, maar met de security preview patches van GtapheneOS heeft men de keuze deze te installeren.
Helaas houdt Google de broncode achterwege dus henben mensen de keuze om deze zonder beschikbare broncode eerder te installeren op GrapheneOS, of kan men kiezen voor de vertraging maar met open bron.
De security preview releases kan men aan/uit zetten in settings.
Aan te raden is deze aan te laten staan.

Bron:
https://grapheneos.org/releases#2026040600
"All of the Android 16 security patches from the current May 2026, June 2026, July 2026, August 2026, September 2026 and October 2026 Android Security Bulletins are included in the 2026040601 security preview release. List of additional fixed CVEs:"

En dan moeten we bij Android telefoons nog een poos wachten tot de fabrikant eens een update uitbrengt.
Voor mijn goedkopere Samsung normaal gesproken 3 maanden of meer.
Dan willen de banken nog dat ik een veilige telefoon gebruik zoals Android of Ios.
Inderdaad. Helaas worden GrapheneOS telefoons soms door de app van banken geweigert omdat ze geen gebruik maken van Google Play Integrity Services. GrapheneOS gebruikt in plaats daarvan de onafhankelijke Hardware Attestation.
Enkele uitzonderingen daargelaten zoals de Triodos bank die de moeite nam om aanpassingen te maken.
https://www.security.nl/posting/897273/Triodos+laat+bank-app+na+aanpassingen+weer+op+GrapheneOS+werken
Veel mensen willen begrijpelijkerwijs niet afhankelijk van big tech zoals Google zijn, maar dat vereist soms wat opoffering van mogelijkheden. Ik wil zelf geen of zo min mogelijk proprietaire software op mijn apparaat hebben, en geen trackers, dus is een bank app uitgesloten voor mij. (Ik maak gebruik van de bank site en een identifyer apparaat)
De Bunq app gaat zelfs zo ver gegevens te delen met de Chinese Huawei Mobile Services (HMS) Core (het Chinese leger) voor location tracking en advertisement+analytics.
https://reports.exodus-privacy.eu.org/nl/reports/com.bunq.android/latest/#trackers
Soms is het een omgekeerde wereld...
Is dat wel veilig, bankieren op je PC met apparaatje (scanner/identifieër)
heb je dan niet risico phishing en domeinnaam vervalsing ?
Klopt. U heeft gelijk. Men moet niet op een valse link op phishing link klikken, zelfs op GrapheneOS is men daar niet immuun voor, maar ik gebruik altijd de opgeslagen URL in Keepass, Keepass is versleuteld en staat in mijn privégedeelte van mijn telefoon. (Speciale privélade van apps)
Het inloggen doe ik meestal op mijn telefoon via de webbrowser, (of op Linux via KeepassXC) maar telefoons zijn stukken veiliger dan een desktop, (waaronder desktop Linux) en al helemaal via de hardening van de Vanadium web browser, al zal dat niet helpen tegen linkvervalsing.
Net zoals github links van oa. emulatoren kunnen deze vaak nep zijn, de echte hebben vaak net een andere URL die er heel erg op lijkt, dit zie je steds vaker en vormt een aanvalsoppervlak.
Reageer met quote
08-04-2026, 22:30 door Anoniem
Is betalen via de telefkon wel een goed idee?
NFC tranacties kunnen op enige afstand gedaan worden..., geen meters maar toch is er meer mogelijk dan in de winkel...
Telefoon kwijt, alles kwijt
Google en apple kijken met alle transacties mee, blijkbaar soms ook china

Wat kan daar nu mis gaan?
phishing etc is kan ook telefoon gericht zijn, smishing is telefoon gebonden.

en strict genomen transacties via een telefoon zijn per definitie niet MFA geautooriseerd.
Reageer met quote
09-04-2026, 14:16 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit is gelukkig in Januari al gepatched in GrapheneOS;
https://grapheneos.org/releases#2026012800
Sterker nog, de patches tot en met Oktober 2026 zijn al beschikbaar!
Kwetsbaarheden zijn bij Google allang bekend, Google brengt de patches maanden vertraagd uit, maar met de security preview patches van GtapheneOS heeft men de keuze deze te installeren.
Helaas houdt Google de broncode achterwege dus henben mensen de keuze om deze zonder beschikbare broncode eerder te installeren op GrapheneOS, of kan men kiezen voor de vertraging maar met open bron.
De security preview releases kan men aan/uit zetten in settings.
Aan te raden is deze aan te laten staan.

Bron:
https://grapheneos.org/releases#2026040600
"All of the Android 16 security patches from the current May 2026, June 2026, July 2026, August 2026, September 2026 and October 2026 Android Security Bulletins are included in the 2026040601 security preview release. List of additional fixed CVEs:"

En dan moeten we bij Android telefoons nog een poos wachten tot de fabrikant eens een update uitbrengt.
Voor mijn goedkopere Samsung normaal gesproken 3 maanden of meer.
Dan willen de banken nog dat ik een veilige telefoon gebruik zoals Android of Ios.
Inderdaad. Helaas worden GrapheneOS telefoons soms door de app van banken geweigert omdat ze geen gebruik maken van Google Play Integrity Services. GrapheneOS gebruikt in plaats daarvan de onafhankelijke Hardware Attestation.
Enkele uitzonderingen daargelaten zoals de Triodos bank die de moeite nam om aanpassingen te maken.
https://www.security.nl/posting/897273/Triodos+laat+bank-app+na+aanpassingen+weer+op+GrapheneOS+werken
Veel mensen willen begrijpelijkerwijs niet afhankelijk van big tech zoals Google zijn, maar dat vereist soms wat opoffering van mogelijkheden. Ik wil zelf geen of zo min mogelijk proprietaire software op mijn apparaat hebben, en geen trackers, dus is een bank app uitgesloten voor mij. (Ik maak gebruik van de bank site en een identifyer apparaat)
De Bunq app gaat zelfs zo ver gegevens te delen met de Chinese Huawei Mobile Services (HMS) Core (het Chinese leger) voor location tracking en advertisement+analytics.
https://reports.exodus-privacy.eu.org/nl/reports/com.bunq.android/latest/#trackers
Soms is het een omgekeerde wereld...
Is dat wel veilig, bankieren op je PC met apparaatje (scanner/identifieër)
heb je dan niet risico phishing en domeinnaam vervalsing ?
Klopt. U heeft gelijk. Men moet niet op een valse link op phishing link klikken, zelfs op GrapheneOS is men daar niet immuun voor, maar ik gebruik altijd de opgeslagen URL in Keepass, Keepass is versleuteld en staat in mijn privégedeelte van mijn telefoon. (Speciale privélade van apps)
Het inloggen doe ik meestal op mijn telefoon via de webbrowser, (of op Linux via KeepassXC) maar telefoons zijn stukken veiliger dan een desktop, (waaronder desktop Linux) en al helemaal via de hardening van de Vanadium web browser, al zal dat niet helpen tegen linkvervalsing.
Net zoals github links van oa. emulatoren kunnen deze vaak nep zijn, de echte hebben vaak net een andere URL die er heel erg op lijkt, dit zie je steds vaker en vormt een aanvalsoppervlak.
Dat is goede info. Ik gebruik zelf Android, maar ontvang al eeen jaar geen updates meer(OnePlus9) Zou je dan toch kiezen (in mijn geval voor Windows 11?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components