Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Google: отсутствие патчей для Android делает n
Google опубликовал свой ежегодный отчет об уязвимостях нулевого дня, в котором представлена статистика использования уязвимостей за 2022 год и подчеркнута давняя проблема на платформе Android, которая повышает ценность и использование обнаруженных недостатков в течение длительных периодов времени.
В частности, в отчете Google подчеркивается проблема, что n-дней в Android функционируют как 0-дни для злоумышленников.
Проблема связана со сложностью экосистемы Android, включающей несколько этапов между вышестоящим поставщиком (Google) и нижестоящим производителем (производителями телефонов), значительными различиями в интервалах обновлений безопасности между различными моделями устройств, короткими периодами поддержки, смешением обязанностей и т. д. проблемы.
Уязвимость нулевого дня — это дефект программного обеспечения, известный до того, как поставщик узнает или исправит его, что позволяет использовать его в атаках до того, как будет доступен патч. Однако уязвимость n-day — это та, которая общеизвестна с исправлением или без него.
Например, если ошибка известна в Android раньше Google, это называется нулевым днем. Однако, как только Google узнает об этом, он становится n-днем, где n отражает количество дней с тех пор, как о нем стало публично известно.
Google предупреждает, что злоумышленники могут использовать n-дней для атак на непропатченные устройства в течение нескольких месяцев, используя известные методы эксплуатации или разрабатывая свои собственные, несмотря на то, что исправление уже доступно Google или другим поставщиком.
Это вызвано пробелами в исправлениях, когда Google или другой поставщик исправляет ошибку, но производителю устройства требуются месяцы, чтобы внедрить ее в своих собственных версиях Android.
«Эти разрывы между вышестоящими поставщиками и нижестоящими производителями позволяют n-days — общеизвестным уязвимостям — функционировать как 0-days, потому что для пользователя нет готового исправления, и их единственная защита — прекратить использование устройства», — поясняется в отчете Google. .
«Хотя эти пробелы существуют в большинстве взаимоотношений между восходящим и нисходящим потоками, в Android они более распространены и продолжительны».
В 2022 году многие проблемы такого рода затронули Android, в первую очередь CVE-2022-38181, уязвимость в графическом процессоре ARM Mali. Об этом дефекте было сообщено команде безопасности Android в июле 2022 года, он был признан «неисправимым», исправлен ARM в октябре 2022 года и, наконец, включен в обновление безопасности Android от апреля 2023 года.
Было обнаружено, что эта уязвимость используется в реальных условиях в ноябре 2022 года, через месяц после того, как ARM выпустила исправление.
Эксплуатация продолжалась до апреля 2023 года, когда обновление безопасности Android выпустило исправление, и это спустя целых шесть месяцев после того, как ARM устранила проблему безопасности.
В декабре 2022 года было обнаружено, что эти две уязвимости были использованы в рамках цепочки атак, в результате которой устройства Samsung Android были заражены шпионским ПО.
Samsung выпустила обновление безопасности для CVE-2022-22706 в мае 2023 года, в то время как в обновлении безопасности Android было использовано исправление ARM для обновления безопасности от июня 2023 года, что зафиксировало ошеломляющую 17-месячную задержку.
Даже после того, как Google выпустит обновление безопасности Android, производителям устройств потребуется до трех месяцев, чтобы сделать исправления доступными для поддерживаемых моделей, что дает злоумышленникам еще одно окно возможностей для использования конкретных устройств.
Этот пробел в исправлениях фактически делает n-day столь же ценным, как и нулевой день, для злоумышленников, которые могут использовать его на непропатченных устройствах. Некоторые могут счесть эти n-дней более полезными, чем нулевые дни, поскольку технические детали уже опубликованы, возможно, с использованием эксплойтов для проверки концепции (PoC), что упрощает злоупотребление ими со стороны злоумышленников.
Хорошей новостью является то, что сводка активности Google за 2022 год показывает, что количество ошибок нулевого дня сократилось по сравнению с 2021 годом (41 найдено), в то время как наиболее значительное снижение было зафиксировано в категории браузеров, где в прошлом году было 15 ошибок (в 2021 году было 26).
Еще один примечательный вывод заключается в том, что более 40% уязвимостей нулевого дня, обнаруженных в 2022 году, были вариантами ранее зарегистрированных недостатков, поскольку обойти исправления известных недостатков обычно проще, чем найти новую уязвимость нулевого дня, которая может использоваться в аналогичных цепочках атак.