Säkerhetsuppdateringarna är inte lika roliga att få som nya Androidversioner, men de är på flera vis viktigare. Mars-uppdateringen understryker vikten av dessa månatliga åtgärder av buggar och sårbarheter.

Den fixar nämligen en allvarlig sårbarhet i Exynos-modem som gjorde att telefoner kunde angripas bara med hjälp av målets telefonnummer, utan att användaren behövde interagera med angriparen. Drabbade enheter inkluderar Pixel 6 och Pixel 7, samt flera telefoner från Samsung likt Galaxy S22.

Mars-uppdateringen åtgärdar även en beklaglig bugg som varit specifik för markup-verktyget i Pixel-telefoner, det vill säga verktyget som främst används för att redigera skärmdumpar. På grund av sättet skärmbilderna sparades på kan nämligen ibland bortklippta eller överstrukna delar av bilderna återställas.

Detta är förstås allvarligt, då någon exempelvis kan ha klippt bort känsliga uppgifter från skärmbilden och därefter delat den offentligt. Flera tjänster likt Twitter tar dock lyckligtvis automatiskt bort denna eftersläpande data från bilder, så att skärmdumparna skyddas. En liknande sårbarhet upptäcktes sedermera i Windows verktyg för att redigera skärmdumpar.

Tests conducted by Project Zero confirm that those four vulnerabilities allow an attacker to remotely compromise a phone at the baseband level with no user interaction, and require only that the attacker know the victim’s phone number.

With limited additional research and development, we believe that skilled attackers would be able to quickly create an operational exploit to compromise affected devices silently and remotely.