HomeWiadomości ITAlert: Android ujawnia niebezpieczne luki, ryzykowne jak zero-day!
Wiadomości IT

Alert: Android ujawnia niebezpieczne luki, ryzykowne jak zero-day!

By Jean-Luc Pircard , on 16 lutego, 2024 , updated on 16 lutego, 2024 — Android, Bezpieczeństwo cybernetyczne - 3 minutes to read
Notez-moi

Ekosystem Androida stoi przed długotrwałym problemem, który zwiększa wartość i wykorzystanie ujawnionych luk w zabezpieczeniach przez dłuższy czas. Firma Google opublikowała niedawno swój roczny raport na temat luk w zabezpieczeniach dnia 0, podkreślając ten problem i podkreślając jego wpływ na bezpieczeństwo użytkowników.

Raport Google podkreśla problem n-dni w Androidzie, które dla cyberprzestępców pełnią funkcję 0-dni. Obecnie powszechnie znane są luki w zabezpieczeniach, dostępne z łatką lub bez niej. Atakujący mogą zatem wykorzystywać te luki miesiącami, nawet jeśli wypuszczono łatkę.

Problem ten wynika ze złożoności ekosystemu Androida, ze znacznymi przerwami w odstępach czasu między aktualizacjami zabezpieczeń pomiędzy różnymi modelami urządzeń, krótkimi okresami wsparcia, zamieszaniem w zakresie odpowiedzialności i innymi problemami. Te luki między dostawcami i producentami pozwalają publicznie znanym lukom działać jako 0-dniowe, ponieważ użytkownik nie ma łatki i jego jedyną obroną jest zaprzestanie korzystania z urządzenia.

Konkretne przykłady

W 2022 r. kilka takich problemów dotyczyło Androida. Na przykład luka CVE-2022-38181 w procesorze graficznym ARM Mali została zgłoszona zespołowi ds. bezpieczeństwa Androida w lipcu 2022 r., ale została załatana przez firmę ARM w październiku 2022 r. Jednak aktualizacja zabezpieczeń Androida zintegrowała tę poprawkę dopiero w kwietniu 2023 r., sześć miesięcy po tym, jak ARM naprawił problem bezpieczeństwa.

Dwa inne przykłady to luki CVE-2022-3038 i CVE-2022-22706. Pierwsza poprawka została załatana w czerwcu 2022 r., ale nie została załatana w przeglądarkach dostawców opartych na wcześniejszych wersjach Chrome. Druga została załatana przez dostawcę w styczniu 2022 r., ale aktualizacja zabezpieczeń Androida przyjęła łatkę dopiero w czerwcu 2023 r., odnotowując 17-miesięczne opóźnienie.

Te opóźnienia w łataniu sprawiają, że dla cyberprzestępców n-dni są tak samo cenne jak 0-dni. Szczegóły techniczne luk zostały już opublikowane, co ułatwia atakującym ich wykorzystanie. Ponadto podsumowanie działalności Google za rok 2022 pokazuje, że w porównaniu z rokiem poprzednim liczba błędów typu zero-day spadła, ale ponad 40% wykrytych luk typu zero-day stanowią warianty wcześniej zgłoszonych błędów.

Wniosek

Należy koniecznie wziąć pod uwagę te kwestie bezpieczeństwa w ekosystemie Androida. Aby zapewnić lepszą ochronę użytkowników, należy zmniejszyć luki między dostawcami i producentami. Aktualizacje zabezpieczeń powinny być stosowane szybko i konsekwentnie we wszystkich modelach urządzeń. Gracze z branży muszą współpracować, aby rozwiązać te problemy i zapewnij każdemu bezpieczniejsze środowisko Androida.

Źródło naszych informacji

Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Comments

Leave a comment

Your comment will be revised by the site if needed.