Η Google δημοσίευσε την ετήσια έκθεση ευπαθειών zero-day, παρουσιάζοντας στατιστικά στοιχεία εκμετάλλευσης από το 2022 και επισημαίνοντας ένα μακροχρόνιο πρόβλημα στην πλατφόρμα Android που αξιοποιεί τα ελαττώματα n-day για μεγάλο χρονικό διάστημα, αυξάνοντας την αξία και τη επικινδυνότητά τους.
Δείτε επίσης: Η Zimbra διορθώνει σοβαρή zero-day ευπάθεια
Πιο συγκεκριμένα, η έκθεση της Google αναδεικνύει το πρόβλημα των ευπαθειών n-day που λειτουργούν σαν zero-day για τους παράγοντες κινδύνου στο Android.
Το πρόβλημα πηγάζει από την πολυπλοκότητα του οικοσυστήματος Android, το οποίο περιλαμβάνει πολλά βήματα μεταξύ του προμηθευτή (Google) και των κατασκευαστών τηλεφώνων. Αυτό οδηγεί σε σημαντικές αποκλίσεις στα διαστήματα ενημερώσεων ασφαλείας μεταξύ διαφορετικών μοντέλων συσκευών, σύντομες περίοδους υποστήριξης, μίξεις ευθυνών και άλλα θέματα.
Ένα zero-day είναι μια από τις πιο επικίνδυνες απειλές στον κόσμο της κυβερνοασφάλειας. Αυτό οφείλεται στο γεγονός ότι πρόκειται για ευπάθειες για τις οποίες οι προμηθευτές λογισμικού δεν έχουν ακόμα γνώση ή δεν έχουν προλάβει να εκδώσουν ενημερώσεις για τη διόρθωσή τους. Αυτό δημιουργεί ένα “παράθυρο” για τους χάκερς να εκμεταλλευτούν τις ευπάθειες πριν αυτές διορθωθούν. Το ζήτημα των zero-day είναι ιδιαίτερα αισθητό στο Android, λόγω του μεγέθους και της πολυπλοκότητας του οικοσυστήματός του. Ωστόσο, μια ευπάθεια n-ημέρων είναι αυτή που είναι δημόσια γνωστή, είτε με ενημέρωση κώδικα είτε χωρίς.
Για παράδειγμα, όταν ένα σφάλμα είναι γνωστό στο Android πριν από την Google, τότε αυτό ονομάζεται zero-day. Ωστόσο, όταν η Google το μάθει, γίνεται n-day, όπου το n αντιπροσωπεύει τον αριθμό των ημερών από τη δημοσίευσή του.
Δείτε ακόμα: Η Apple διορθώνει κι άλλη zero-day ευπάθεια
Η Google προειδοποιεί ότι εισβολείς μπορούν να αξιοποιήσουν την παρουσία ευπαθειών σε συσκευές που δεν έχουν επιδιορθωθεί εδώ και μήνες. Χρησιμοποιώντας είτε γνωστές μεθόδους εκμετάλλευσης, είτε επινοώντας τις δικές τους, οι εισβολείς απειλούν την ασφάλεια των συσκευών. Αυτό παρά το γεγονός ότι η Google και άλλοι προμηθευτές έχουν ήδη κυκλοφορήσει ενημερώσεις κώδικα για να διορθώσουν τις ευπάθειες αυτές.
Αυτό συμβαίνει όταν υπάρχουν κενά στην ενημέρωση του κώδικα, καθώς η Google ή άλλοι προμηθευτές διορθώνουν ένα σφάλμα, αλλά οι κατασκευαστές συσκευών χρειάζονται μήνες για να το ενσωματώσουν στις δικές τους εκδόσεις του λειτουργικού συστήματος Android.
“Αυτά τα κενά μεταξύ των upstream προμηθευτών και των μεταγενέστερων κατασκευαστών επιτρέπουν στις n-days – ευπάθειες που είναι γνωστές στο κοινό – να λειτουργούν ως 0-days επειδή καμία ενημέρωση κώδικα δεν είναι άμεσα διαθέσιμη στον χρήστη και η μόνη τους άμυνα είναι να σταματήσουν να χρησιμοποιούν τη συσκευή“, εξηγεί η αναφορά της Google.
“Ενώ αυτά τα κενά υπάρχουν στις περισσότερες σχέσεις upstream/downstream, είναι πιο διαδεδομένα και μεγαλύτερα στο Android.“
Δείτε επίσης: Endpoint Manager Mobile: Η Ivanti διορθώνει zero-day ευπάθεια
Το 2022, πολλά θέματα αυτού του είδους επηρέασαν το Android, με το πιο αξιοσημείωτο να είναι το CVE-2022-38181, μια ευπάθεια στη GPU ARM Mali. Αυτό το σφάλμα αναφέρθηκε στην Ομάδα Ασφάλειας του Android τον Ιούλιο του 2022 και αρχικά θεωρήθηκε “μη διορθώσιμο”. Ωστόσο, τον Οκτώβριο του 2022, διορθώθηκε από την ARM και τελικά ενσωματώθηκε στην ενημέρωση ασφαλείας του Android τον Απρίλιο του 2023.
