Pixel 6 krijgt eindelijk de Dirty Pipe-patch, een maand na de Galaxy S22

De Android-beveiligingsupdate van mei is uit , wat betekent dat de Pixel 6 eindelijk een patch krijgt voor de Dirty Pipe-kwetsbaarheid. De update komt een maand nadat Samsung de Galaxy S22-patch naar Google heeft gestuurd, maar hij is er tenminste.

Dirty Pipe, ook bekend als CVE-2022-0847, is een van de grootste Linux-kwetsbaarheden van de afgelopen jaren. Door de kwetsbaarheid kan een niet-geprivilegieerde gebruiker alleen-lezen gegevens overschrijven, wat kan leiden tot extra escalatie van bevoegdheden. Eigenlijk heeft Android hier een werkende demo van. Twitter-gebruiker @Fire30_ deed een demo van het gebruik van de bug om de Pixel 6 te rooten. Linux-apparaten met 5.8 en hoger zijn kwetsbaar, en nadat de kwetsbaarheid op 19 februari werd ontdekt, begonnen patches voor Linux-distributies voor pc’s 17 dagen later uit te rollen .

Met Android is het echter anders. Ten eerste gebruiken nog niet veel apparaten de Linux 5.8-kernel. Hoewel deze versie in augustus 2020 werd uitgebracht, sprong Android pas van 5.4 naar 5.10 met de release van Android 12 in november. Aangezien bestaande apparaten meestal niet schakelen tussen belangrijke kernelversies wanneer ze een Android-update ontvangen, betekent dit dat alleen nieuwe apparaten met Android 12 de 5.10-kernel hebben. Dit is een zeer klein aantal nieuwe apparaten die in de afgelopen acht maanden zijn uitgebracht, namelijk de Pixel 6, Galaxy S22 en OnePlus 10 Pro.

Volgens de onderzoeker die de kwetsbaarheid ontdekte, heeft Google op 23 februari Dirty Pipe gepatcht in de Android-codebase. Samsung nam die code van Google en rolde deze vorige maand uit op de Galaxy S22, maar Google wachtte uiteindelijk een extra maand voordat deze deze week eindelijk Pixel 6-gebruikers zou bereiken. OnePlus loopt nog steeds achter.

Google classificeert Dirty Pipe alleen als ‘hoog’, wat verklaart waarom het bedrijf niet snel een update uitbracht. Dirty Pipe bereikt niet het “kritieke” kwetsbaarheidsniveau op Android omdat het niet op afstand kan worden gebruikt. Je hebt lokale toegang nodig om de exploit te gebruiken, en zolang er geen andere bekende kwetsbaarheden zijn, zou je veilig moeten zijn zolang je niets kwaadaardigs installeert.

In ander nieuws over Android-updates staat het einde van de middenklasse Pixel 3a-lijn voor de deur. Na drie jaar van grote OS-updates, markeert mei 2022 de laatste officiële release van het Pixel 3a OS. Google vertelde 9to5Google dat het toestel in juli 2022 de definitieve update zal ontvangen.