Η Google δημοσίευσε αυτή την εβδομάδα την τέταρτη ετήσια ανασκόπηση της για τις 0-days, οι οποίες είναι εντελώς άγνωστες ευπάθειες ασφαλείας που αξιοποιούνται ενεργά. Το χρονικό κενό που παρατηρείται μεταξύ των patch που περιέχουν fix ασφαλείας και των 0-days στο Android είναι ιδιαίτερα ανησυχητικό.
Τα ευρήματα για το 2022 δείχνουν ότι σε αρκετές περιπτώσεις ο προμηθευτής είχε κυκλοφορήσει ένα patch, αλλά ο κατασκευαστής δεν είχε λάβει το patch και δεν είχε κυκλοφορήσει το fix για τους χρήστες. Αν και τέτοια χρονικά κενά μεταξύ προμηθευτή και κατασκευαστή παρατηρούνται σε όλες τις πλατφόρμες, η Google λέει ότι στο Android είναι αρκετά μεγάλα.
Αυτά τα χρονικά κενά μεταξύ των προμηθευτών και των κατασκευαστών επιτρέπουν στις n-days – ευπάθειες που είναι δημόσια γνωστές – να λειτουργούν ως 0-days, επειδή κανένα patch με fix ασφαλείας δεν είναι άμεσα διαθέσιμο στον χρήστη Android και η μόνη άμυνά του είναι να σταματήσει να χρησιμοποιεί τη συσκευή.
Η Google ανέφερε ότι μία ευπάθεια της ARM Mali GPU toy 2022 δεν διορθώθηκε μέχρι τον Απρίλιο του τρέχοντος έτους, ή 6 μήνες μετά την αρχική έκδοση του patch από την ARM, 9 μήνες μετά την αρχική αναφορά από τον Man Yue Mo, και 5 μήνες μετά την πρώτη διαπίστωση ότι είναι ενεργά εκμεταλλεύσιμη. Το χρονικό:
- Ιούλιος 2022: Αναφορά στην ομάδα ασφαλείας του Android
- Αύγουστος 2022: Το Android Security χαρακτηρίζει “Won’t Fix” και το αποστέλλει στην ARM
- Οκτώβριος 2022: Το σφάλμα διορθώνεται από την ARM
- Νοέμβριος 2022: Ανακαλύπτεται ενεργή εκμετάλλευση
- Απρίλιος 2023: Περιλαμβάνεται στο δελτίο ασφαλείας του Android
Επιπλέον, η Google αναφέρθηκε στον Samsung Internet που ήταν ευάλωτος εν μέρει επειδή το πρόγραμμα περιήγησης χρησιμοποιούσε μια έκδοση του Chromium ηλικίας επτά μηνών (102). Κάτι το οποίο έχει αλλάξει, αλλά πάλι χρειάστηκε πολύς καιρός για να γίνει η μετάβαση σε νεότερη έκδοση.
Ωστόσο, οι επιτιθέμενοι μπόρεσαν να χρησιμοποιήσουν δύο n-days οι οποίες ήταν σε θέση να λειτουργήσουν ως 0-days. Πρόκειται για την CVE-2022-3038 που είχε επιδιορθωθεί στο Chrome 105 τον Ιούνιο του 2022 και την CVE-2022-22706 στον πυρήνα της GPU ARM Mali.
Η ARM είχε κυκλοφορήσει το patch με το fix ασφαλείας για την CVE-2022-22706 τον Ιανουάριο του 2022 και παρόλο που είχε επισημανθεί ότι είναι ενεργά εκμεταλλεύσιμη στο Android οι επιτιθέμενοι ήταν ακόμη σε θέση να τη χρησιμοποιήσουν ως 0-day για 11 μήνες.
Παρόλο που αυτή η ευπάθεια ήταν γνωστό ότι την εκμεταλλεύονται ενεργά από τον Ιανουάριο του 2022, δεν συμπεριλήφθηκε στο δελτίο ασφαλείας του Android μέχρι τον Ιούνιο του 2023, 17 μήνες μετά την κυκλοφορία του patch από την ARM. Η Google αναφέρει ότι ο κλάδος πρέπει να προσφέρει γρήγορα τα fix στους χρήστες, ώστε να μπορούν να προστατευτούν.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.