Google heeft dit jaar 748 beveiligingslekken in het Androidplatform gepatcht. Een daling ten opzichte van vorig jaar toen het nog om 842 kwetsbaarheden ging. Tijdens de laatste patchronde verhielp Google 53 Androidlekken, waarvan er 11 als ernstig zijn aangemerkt.

Via de ergste kwetsbaarheid had een aanvaller op afstand door het versturen van een speciaal geprepareerd bestand willekeurige code kunnen uitvoeren in de context van een geprivilegieerd proces. De ernstige kwetsbaarheden zijn aanwezig in het Media-framework, het Android-system en onderdelen van chipfabrikant Qualcomm.

Een groot deel van de beveiligingslekken die dit jaar in Android werden gepatcht waren toe te schrijven aan Qualcomm. 250 updates van Qualcomm die van 2014 tot en met 2016 uitkwamen werden in april van dit jaar aan het Android-beveiligingsbulletin toegevoegd.

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen ‘2018-12-01’ of ‘2018-12-05’ als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.

Fabrikanten van Android-toestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de update op een later moment uit.

In augustus maakte Google bekend dat vorig jaar één miljard Androidtoestellen geen beveiligingsupdates ontvingen. Er zijn zo’n 2 miljard Androidtoestellen in omloop, wat inhoudt dat de helft vorig jaar ongepatcht was. Google stelt dat het bezig is om het eenvoudiger voor fabrikanten te maken om hun Androidtoestellen te updaten. Ook wil de techgigant dat populaire Androidtoestellen 2 jaar lang updates van de fabrikant ontvangen.