Търсене
Close this search box.

Пропускът в кръпките на Android прави n-days толкова опасни, колкото и 0 -days

Google публикува годишния си доклад за уязвимостите от 0 – ев ден, в който представя статистика за  експлоатацията от 2022 г. и изтъква дългогодишен проблем в платформата Android, който повишава стойността и използването на разкритите недостатъци за продължителни периоди.

По-конкретно, докладът на Google подчертава проблема с n-дневните уязвимости в Android, които функционират като 0-дневни за заплахите.

Проблемът произтича от сложността на екосистемата на Android, включваща няколко стъпки между доставчика нагоре по веригата (Google) и производителя надолу по веригата (производителите на телефони), значителни разминавания в интервалите на актуализация на сигурността между различните модели устройства, кратки периоди на поддръжка, смесване на отговорностите и други проблеми.

Уязвимост от нулев ден е софтуерен недостатък, известен преди производителят да се е запознал с него или да го е отстранил, което позволява той да бъде използван при атаки, преди да е налична кръпка. Уязвимостта n-ден обаче е такава, която е публично известна със или без кръпка.

Например, ако дадена грешка в Android е известна преди Google, тя се нарича нулев ден. След като Google научи за нея обаче, тя става n-дневна, като n отразява броя на дните, откакто е станала публично известна.

Google предупреждава, че нападателите могат да използват n-дневките, за да атакуват непоправени устройства в продължение на месеци, използвайки известни методи за експлоатация или разработвайки свои собствени, въпреки че вече е предоставена кръпка от Google или друг доставчик.

Причината за това са пропуските в кръпките, при които Google или друг доставчик отстранява даден бъг, но на производителя на устройството му трябват месеци, за да го въведе в своите версии на Android.

„Тези пропуски между доставчиците нагоре по веригата и производителите надолу по веригата позволяват n-days – уязвимости, които са публично известни – да функционират като 0-days, тъй като потребителят няма готов пач и единствената му защита е да спре да използва устройството“, се обяснява в доклада на Google.

„Макар че тези пропуски съществуват в повечето отношения между потребителите нагоре и надолу по веригата, те са по-разпространени и по-дълготрайни в Android.“

N-дневките, толкова ефективни, колкото 0-дневките

През 2022 г. много проблеми от този вид засегнаха Android, най-вече CVE-2022-38181 – уязвимост в графичния процесор ARM Mali. Този недостатък е докладван на екипа по сигурността на Android през юли 2022 г., оценен е като „няма да се поправи“, поправен е от ARM през октомври 2022 г. и накрая е включен в актуализацията на сигурността на Android от април 2023 г.

През ноември 2022 г., един месец след като ARM публикува поправка, е установено, че този недостатък се експлоатира активно.

Експлоатацията продължи с неотслабваща сила до април 2023 г., когато в актуализацията за сигурност на Android беше вкарана поправката, цели шест месеца след като ARM се зае с проблема със сигурността.

  • CVE-2022-3038: Дефект при избягване на пясъчната кутия в Chrome 105, който беше поправен през юни 2022 г., но остана нерешен в браузъри на производители, базирани на по-ранни версии на Chrome, като например „Интернет браузъра“ на Samsung.
  • CVE-2022-22706: Дефект в драйвера на ядрото на графичния процесор ARM Mali, поправен от производителя през януари 2022 г.

Установено е, че двата недостатъка са експлоатирани през декември 2022 г. като част от верига от атаки, която заразява устройства с Android на Samsung с шпионски софтуер.

Samsung пусна актуализация на сигурността за CVE-2022-22706 през май 2023 г., докато актуализацията на сигурността на Android прие поправката на ARM в актуализацията на сигурността от юни 2023 г., регистрирайки зашеметяващо 17-месечно забавяне.

Дори след като Google пусне актуализацията за сигурност на Android, на производителите на устройства им отнема до три месеца, за да направят поправките достъпни за поддържаните модели, което дава на нападателите още един прозорец с възможности за експлоатация на конкретни устройства.

Тази разлика в броя на поправките на практика прави n-дневката толкова ценна, колкото и нулевия ден за  заплахите, които могат да я използват на непоправени устройства. Някои могат да смятат, че тези n-дни са по-полезни от нулевите дни, тъй като техническите подробности вече са публикувани, потенциално с доказателства за концептуални експлойти, което улеснява участниците в заплахи да ги използват.

Добрата новина е, че обобщението на активността на Google за 2022 г. показва, че недостатъците от типа нулев ден са намалели в сравнение с 2021 г. – 41 открити, като най-значителен спад е отчетен в категорията браузъри, в която миналата година са отчетени 15 недостатъка (през 2021 г. са били 26).

Друга забележителна констатация е, че повече от 40% от уязвимостите нулев ден, открити през 2022 г., са варианти на по-рано докладвани недостатъци, тъй като заобикалянето на поправки за известни недостатъци обикновено е по-лесно, отколкото намирането на нов 0-ден, който може да послужи за подобни вериги от атаки.

Източник: По материали от Интернет

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
Бъдете социални
Още по темата
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
10/04/2024

Chrome Enterprise дава Prem...

Google обяви нова версия на своя...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!