Търсене
Close this search box.

Google публикува годишния си доклад за уязвимостите от 0 – ев ден, в който представя статистика за  експлоатацията от 2022 г. и изтъква дългогодишен проблем в платформата Android, който повишава стойността и използването на разкритите недостатъци за продължителни периоди.

По-конкретно, докладът на Google подчертава проблема с n-дневните уязвимости в Android, които функционират като 0-дневни за заплахите.

Проблемът произтича от сложността на екосистемата на Android, включваща няколко стъпки между доставчика нагоре по веригата (Google) и производителя надолу по веригата (производителите на телефони), значителни разминавания в интервалите на актуализация на сигурността между различните модели устройства, кратки периоди на поддръжка, смесване на отговорностите и други проблеми.

Уязвимост от нулев ден е софтуерен недостатък, известен преди производителят да се е запознал с него или да го е отстранил, което позволява той да бъде използван при атаки, преди да е налична кръпка. Уязвимостта n-ден обаче е такава, която е публично известна със или без кръпка.

Например, ако дадена грешка в Android е известна преди Google, тя се нарича нулев ден. След като Google научи за нея обаче, тя става n-дневна, като n отразява броя на дните, откакто е станала публично известна.

Google предупреждава, че нападателите могат да използват n-дневките, за да атакуват непоправени устройства в продължение на месеци, използвайки известни методи за експлоатация или разработвайки свои собствени, въпреки че вече е предоставена кръпка от Google или друг доставчик.

Причината за това са пропуските в кръпките, при които Google или друг доставчик отстранява даден бъг, но на производителя на устройството му трябват месеци, за да го въведе в своите версии на Android.

„Тези пропуски между доставчиците нагоре по веригата и производителите надолу по веригата позволяват n-days – уязвимости, които са публично известни – да функционират като 0-days, тъй като потребителят няма готов пач и единствената му защита е да спре да използва устройството“, се обяснява в доклада на Google.

„Макар че тези пропуски съществуват в повечето отношения между потребителите нагоре и надолу по веригата, те са по-разпространени и по-дълготрайни в Android.“

N-дневките, толкова ефективни, колкото 0-дневките

През 2022 г. много проблеми от този вид засегнаха Android, най-вече CVE-2022-38181 – уязвимост в графичния процесор ARM Mali. Този недостатък е докладван на екипа по сигурността на Android през юли 2022 г., оценен е като „няма да се поправи“, поправен е от ARM през октомври 2022 г. и накрая е включен в актуализацията на сигурността на Android от април 2023 г.

През ноември 2022 г., един месец след като ARM публикува поправка, е установено, че този недостатък се експлоатира активно.

Експлоатацията продължи с неотслабваща сила до април 2023 г., когато в актуализацията за сигурност на Android беше вкарана поправката, цели шест месеца след като ARM се зае с проблема със сигурността.

  • CVE-2022-3038: Дефект при избягване на пясъчната кутия в Chrome 105, който беше поправен през юни 2022 г., но остана нерешен в браузъри на производители, базирани на по-ранни версии на Chrome, като например „Интернет браузъра“ на Samsung.
  • CVE-2022-22706: Дефект в драйвера на ядрото на графичния процесор ARM Mali, поправен от производителя през януари 2022 г.

Установено е, че двата недостатъка са експлоатирани през декември 2022 г. като част от верига от атаки, която заразява устройства с Android на Samsung с шпионски софтуер.

Samsung пусна актуализация на сигурността за CVE-2022-22706 през май 2023 г., докато актуализацията на сигурността на Android прие поправката на ARM в актуализацията на сигурността от юни 2023 г., регистрирайки зашеметяващо 17-месечно забавяне.

Дори след като Google пусне актуализацията за сигурност на Android, на производителите на устройства им отнема до три месеца, за да направят поправките достъпни за поддържаните модели, което дава на нападателите още един прозорец с възможности за експлоатация на конкретни устройства.

Тази разлика в броя на поправките на практика прави n-дневката толкова ценна, колкото и нулевия ден за  заплахите, които могат да я използват на непоправени устройства. Някои могат да смятат, че тези n-дни са по-полезни от нулевите дни, тъй като техническите подробности вече са публикувани, потенциално с доказателства за концептуални експлойти, което улеснява участниците в заплахи да ги използват.

Добрата новина е, че обобщението на активността на Google за 2022 г. показва, че недостатъците от типа нулев ден са намалели в сравнение с 2021 г. – 41 открити, като най-значителен спад е отчетен в категорията браузъри, в която миналата година са отчетени 15 недостатъка (през 2021 г. са били 26).

Друга забележителна констатация е, че повече от 40% от уязвимостите нулев ден, открити през 2022 г., са варианти на по-рано докладвани недостатъци, тъй като заобикалянето на поправки за известни недостатъци обикновено е по-лесно, отколкото намирането на нов 0-ден, който може да послужи за подобни вериги от атаки.

Източник: По материали от Интернет

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
Бъдете социални
Още по темата
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
28/11/2024

T-Mobile споделя повече инф...

В сряда T-Mobile сподели допълнителна информация...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!