Android dicht actief misbruikte zero-day in Qualcomm-chipset

Google heeft in de beveiligingsupdate van maart 2026 in totaal 129 kwetsbaarheden in Android verholpen. Daaronder bevindt zich een actief misbruikte zero-day kwetsbaarheid in een grafische component van Qualcomm-chipsets. Het gaat om CVE-2026-21385, een ernstige fout die volgens Google mogelijk al doelgericht wordt aangevallen.

Google meldt in het Android Security Bulletin van maart 2026 dat er “aanwijzingen zijn dat CVE-2026-21385 beperkt en doelgericht wordt misbruikt.” Verdere technische details over de aard van de aanvallen of de getroffen doelwitten zijn niet openbaar gemaakt.

Wat is CVE-2026-21385?

Volgens Qualcomm betreft het een integer overflow (ook wel integer wraparound) in de Graphics-subcomponent van de displayfunctionaliteit van de chipset. Een integer overflow ontstaat wanneer een berekening een waarde produceert die buiten het toegestane bereik van het datatype valt, waardoor onverwacht gedrag kan optreden.

In dit geval kan een lokale aanvaller de fout misbruiken om geheugencorruptie (memory corruption) te veroorzaken. Geheugencorruptie is gevaarlijk omdat het kan leiden tot:

• Uitvoering van kwaadaardige code
• Escalatie van gebruikersrechten
• Systeeminstabiliteit of crashes
• Potentiële toegang tot gevoelige gegevens

Qualcomm classificeert de kwetsbaarheid als high severity (hoog risico).

Tijdlijn van ontdekking en melding

• 18 december 2025: Qualcomm wordt op de hoogte gebracht van de kwetsbaarheid.
• 2 februari 2026: Qualcomm informeert zijn klanten (fabrikanten van Android-apparaten).
• 3 februari 2026: Publicatie van een beveiligingsadvies door Qualcomm.
• Maart 2026: Google rolt patches uit via het Android Security Bulletin.

Volgens Qualcomm treft de kwetsbaarheid 235 verschillende chipsetmodellen, wat wijst op een brede potentiële impact binnen het Android-ecosysteem.

Opvallend is dat Qualcomm in zijn eigen advies niet expliciet vermeldt dat de kwetsbaarheid al actief wordt misbruikt, terwijl Google dat in zijn bulletin wél aangeeft.

In totaal 129 kwetsbaarheden verholpen

De maart-update verhelpt in totaal 129 beveiligingsproblemen in verschillende Android-componenten, waaronder:

• System
• Framework
• Kernel
• Diverse gesloten (closed-source) third-party onderdelen

Van deze kwetsbaarheden zijn er 10 als ‘kritiek’ geclassificeerd. Deze kritieke lekken kunnen onder meer leiden tot:

• Remote Code Execution (RCE)
• Privilege escalation (verhoging van toegangsrechten)
• Denial-of-service (DoS)

De ernstigste kwetsbaarheid bevindt zich in de System-component en kan leiden tot remote code execution zonder dat aanvullende privileges of gebruikersinteractie nodig zijn. Dit betekent dat een aanvaller op afstand code kan uitvoeren op een kwetsbaar toestel, zonder dat de gebruiker ergens op hoeft te klikken of een actie moet uitvoeren. Dergelijke kwetsbaarheden worden als bijzonder gevaarlijk beschouwd.

Twee patchniveaus: 2026-03-01 en 2026-03-05

Google heeft twee beveiligingspatchniveaus uitgebracht:

• 2026-03-01
  Bevat de kernpatches voor het Android-framework en systeemelementen.

• 2026-03-05
  Bevat alle fixes uit 2026-03-01 plus aanvullende patches voor:

  • Gesloten third-party componenten

  • Kernel-subcomponenten

  • Leveranciersspecifieke onderdelen (zoals Qualcomm-drivers)

Niet alle patches zijn relevant voor elk toestel, omdat Android-fabrikanten verschillende hardwareconfiguraties gebruiken.

Uitrol van de updates

• Google Pixel-toestellen ontvangen de beveiligingsupdates doorgaans direct.

• Andere Android-fabrikanten (zoals Samsung, Xiaomi, Oppo, enz.) hebben vaak extra tijd nodig om:

  • De patches te testen

  • Aanpassingen te doen voor specifieke hardware

  • De updates via hun eigen updatekanalen uit te rollen

Hierdoor kan het weken of zelfs maanden duren voordat alle kwetsbare toestellen daadwerkelijk zijn bijgewerkt.

Eerdere actief misbruikte zero-days

In december 2025 bracht Google ook patches uit voor twee andere zero-day kwetsbaarheden:

• CVE-2025-48633
• CVE-2025-48572

Beide werden eveneens aangeduid als “onder beperkte, gerichte exploitatie”. Dit patroon laat zien dat geavanceerde aanvallers actief zoeken naar kwetsbaarheden in Android-componenten en deze in sommige gevallen doelgericht inzetten voordat patches publiek beschikbaar zijn.

Wat betekent dit voor gebruikers?

Voor eindgebruikers is het belangrijkste advies:

• Installeer beveiligingsupdates zo snel mogelijk.
• Controleer het patchniveau via: Instellingen → Beveiliging → Android-beveiligingsupdate.
• Gebruik alleen apparaten die nog actief beveiligingsupdates ontvangen.
• Overweeg tijdige vervanging van toestellen die geen updates meer krijgen.

Omdat deze kwetsbaarheid actief wordt misbruikt, is snelle installatie van de update essentieel om misbruik te voorkomen.

Door: Drifter