Google публикува годишния си доклад за уязвимостите от 0 – ев ден, в който представя статистика за експлоатацията от 2022 г. и изтъква дългогодишен проблем в платформата Android, който повишава стойността и използването на разкритите недостатъци за продължителни периоди.
По-конкретно, докладът на Google подчертава проблема с n-дневните уязвимости в Android, които функционират като 0-дневни за заплахите.
Проблемът произтича от сложността на екосистемата на Android, включваща няколко стъпки между доставчика нагоре по веригата (Google) и производителя надолу по веригата (производителите на телефони), значителни разминавания в интервалите на актуализация на сигурността между различните модели устройства, кратки периоди на поддръжка, смесване на отговорностите и други проблеми.
Уязвимост от нулев ден е софтуерен недостатък, известен преди производителят да се е запознал с него или да го е отстранил, което позволява той да бъде използван при атаки, преди да е налична кръпка. Уязвимостта n-ден обаче е такава, която е публично известна със или без кръпка.
Например, ако дадена грешка в Android е известна преди Google, тя се нарича нулев ден. След като Google научи за нея обаче, тя става n-дневна, като n отразява броя на дните, откакто е станала публично известна.
Google предупреждава, че нападателите могат да използват n-дневките, за да атакуват непоправени устройства в продължение на месеци, използвайки известни методи за експлоатация или разработвайки свои собствени, въпреки че вече е предоставена кръпка от Google или друг доставчик.
Причината за това са пропуските в кръпките, при които Google или друг доставчик отстранява даден бъг, но на производителя на устройството му трябват месеци, за да го въведе в своите версии на Android.
„Тези пропуски между доставчиците нагоре по веригата и производителите надолу по веригата позволяват n-days – уязвимости, които са публично известни – да функционират като 0-days, тъй като потребителят няма готов пач и единствената му защита е да спре да използва устройството“, се обяснява в доклада на Google.
„Макар че тези пропуски съществуват в повечето отношения между потребителите нагоре и надолу по веригата, те са по-разпространени и по-дълготрайни в Android.“
През 2022 г. много проблеми от този вид засегнаха Android, най-вече CVE-2022-38181 – уязвимост в графичния процесор ARM Mali. Този недостатък е докладван на екипа по сигурността на Android през юли 2022 г., оценен е като „няма да се поправи“, поправен е от ARM през октомври 2022 г. и накрая е включен в актуализацията на сигурността на Android от април 2023 г.
През ноември 2022 г., един месец след като ARM публикува поправка, е установено, че този недостатък се експлоатира активно.
Експлоатацията продължи с неотслабваща сила до април 2023 г., когато в актуализацията за сигурност на Android беше вкарана поправката, цели шест месеца след като ARM се зае с проблема със сигурността.
Установено е, че двата недостатъка са експлоатирани през декември 2022 г. като част от верига от атаки, която заразява устройства с Android на Samsung с шпионски софтуер.
Samsung пусна актуализация на сигурността за CVE-2022-22706 през май 2023 г., докато актуализацията на сигурността на Android прие поправката на ARM в актуализацията на сигурността от юни 2023 г., регистрирайки зашеметяващо 17-месечно забавяне.
Дори след като Google пусне актуализацията за сигурност на Android, на производителите на устройства им отнема до три месеца, за да направят поправките достъпни за поддържаните модели, което дава на нападателите още един прозорец с възможности за експлоатация на конкретни устройства.
Тази разлика в броя на поправките на практика прави n-дневката толкова ценна, колкото и нулевия ден за заплахите, които могат да я използват на непоправени устройства. Някои могат да смятат, че тези n-дни са по-полезни от нулевите дни, тъй като техническите подробности вече са публикувани, потенциално с доказателства за концептуални експлойти, което улеснява участниците в заплахи да ги използват.
Добрата новина е, че обобщението на активността на Google за 2022 г. показва, че недостатъците от типа нулев ден са намалели в сравнение с 2021 г. – 41 открити, като най-значителен спад е отчетен в категорията браузъри, в която миналата година са отчетени 15 недостатъка (през 2021 г. са били 26).
Друга забележителна констатация е, че повече от 40% от уязвимостите нулев ден, открити през 2022 г., са варианти на по-рано докладвани недостатъци, тъй като заобикалянето на поправки за известни недостатъци обикновено е по-лесно, отколкото намирането на нов 0-ден, който може да послужи за подобни вериги от атаки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.