Qualcomm kampt met een veiligheidslek in zijn Snapdragon-chips. Een fout bij geheugengebruik maakt apparaten kwetsbaar, vooral als het werkgeheugen volloopt. Het probleem speelt wereldwijd bij smartphones en slimme apparaten met Qualcomm-hardware. Het kwam recent aan het licht doordat een geheugentekort het lek zichtbaar maakte.
Geheugenfout raakt Snapdragon-apparaten
De fout zit in de manier waarop systemen met Snapdragon het werkgeheugen beheren. Bij hoge belasting kan het geheugen vollopen en gaat een onderdeel van de software mis. Dat kan leiden tot vastlopers of onverwacht gedrag. In sommige gevallen kan een aanvaller dit gedrag bewust uitlokken.
Qualcomm levert chips aan veel telefoonmerken, van budget tot premium. Daardoor is de potentiële impact groot. Welke modellen precies zijn geraakt, is op het moment van schrijven niet volledig duidelijk. Fabrikanten testen nog welke varianten van de chip en drivers kwetsbaar zijn.
Het risico verschilt per apparaat en softwareversie. Nieuwe Android-versies hebben extra beveiligingslagen die misbruik bemoeilijken. Denk aan sandboxing (apps draaien afgeschermd) en geheugenbescherming. Toch blijft een fout in een driver of firmware een zwakke plek.
Risico: crash of code-uitvoering
Het meest waarschijnlijke gevolg is een crash of herstart van het toestel. Dat heet een denial-of-service. In een ernstiger scenario kan een aanvaller eigen code laten draaien. Dat vraagt meestal om extra stappen en een tweede fout in het systeem.
Of misbruik lukt, hangt af van hoe de fout bereikbaar is. Een kwaadaardige app kan het proberen als zij naar de kwetsbare driver mag praten. Soms kan het ook via netwerkverkeer, bijvoorbeeld met zwaar 4G- of 5G-gebruik. Dat verschilt per toestel en configuratie.
Er zijn op het moment van schrijven geen brede meldingen van actieve misbruikcampagnes in Europa. Wel adviseren beveiligingsdiensten om alert te zijn. Logbestanden kunnen afwijkingen tonen, zoals herhaalde vastlopers. Organisaties moeten dat serieus onderzoeken.
Geheugentekort betekent dat een apparaat geen vrij werkgeheugen meer heeft. Software kan dan onvoorspelbaar reageren en kwetsbaarheden prijsgeven.
Patches via Android-keten
Een reparatie voor dit soort fouten komt in stappen. Eerst levert Qualcomm nieuwe firmware of drivers. Daarna bouwen telefoonmakers de patch in hun updates. Google voegt die vaak toe aan het maandelijkse Android-beveiligingsbulletin.
Die keten kost tijd, zeker bij oudere toestellen. Merken ondersteunen niet elk model even lang. In Europa verlengen regels en marktverwachtingen de update-termijnen, maar gaten blijven. Gebruikers zien updates dus niet op hetzelfde moment binnenkomen.
Installeer updates zodra ze beschikbaar zijn. Dat kan via Instellingen, Systeem en vervolgens Systeemupdate. Vermijd intussen onnodige installatie van apps buiten de Play Store. Beperk zware taken als het toestel al traag of instabiel aanvoelt.
Europese regels vergroten druk
De aankomende Cyber Resilience Act verplicht leveranciers tot beveiliging gedurende de levensduur van producten. Ook moeten ze kwetsbaarheden melden en snel patchen. Voor netwerkoperators en grote organisaties geldt daarnaast NIS2 met strengere eisen. Dit vergroot de druk op chipmakers en fabrikanten om sneller te leveren.
Als misbruik leidt tot datalekken, geldt de AVG. Bedrijven moeten dan incidenten snel melden en de schade beperken. Dat vraagt om versleuteling en dataminimalisatie op apparaten. Ook moeten ze kunnen aantonen dat updates tijdig zijn uitgerold.
In Nederland geeft het NCSC praktisch advies over kwetsbaarheden. Overheidsdiensten en vitale sectoren volgen daar richtlijnen voor patchbeleid. De Rijksinspectie Digitale Infrastructuur let op de kwaliteit van updates bij consumentenproducten. Zo komt beleid dichter op de techniek te zitten.
Wat organisaties nu kunnen doen
Maak een overzicht van alle apparaten met Qualcomm-chips. Denk aan telefoons, tablets en IoT-apparaten. Check per model de update-status bij de fabrikant. Prioriteit gaat naar toestellen met toegang tot gevoelige data.
Gebruik een MDM-systeem om updates af te dwingen. Zet sideloading van apps uit en beperk toestemmingen. Monitor op afwijkend gedrag, zoals plotselinge herstarts of veel crash-rapporten. Zet logging aan op mobiele endpoints en netwerkcomponenten.
Maak afspraken met leveranciers over update-deadlines en ondersteuning. Vraag om een software bill of materials (SBOM) om afhankelijkheden te kennen. Leg in contracten verplichtingen vast rond patching en communicatie. Dat sluit aan op NIS2 en de Cyber Resilience Act.
Waarom dit vaker gebeurt
Chips en drivers zijn complex en vaak gesloten broncode. Een kleine fout in geheugenbeheer kan lang onopgemerkt blijven. Onder druk van prestaties en batterijduur schuiven grenzen op. Dat vergroot de kans op kwetsbaarheden bij piekbelasting.
De sector zoekt oplossingen in betere tooling en veiligere talen. Android en Linux voegen meer bescherming toe, zoals isolatie en exploit-mitigaties. Ook groeit het gebruik van geheugenveilige programmeertalen, zoals Rust, in kritieke onderdelen. Dat verkleint het risico op dit type fouten.
Toch blijft snelle distributie van updates de sleutel. Leveranciers, fabrikanten en providers moeten beter samenwerken. Europese regels helpen om die keten te versnellen. Gebruikers profiteren pas echt als patches hen snel bereiken.
