IT News

Попередження: Android виявляє небезпечні вразливості, такі ж ризиковані, як нуль днів!

By Jean-Luc Pircard , on 16 Лютого, 2024 , updated on 16 Лютого, 2024 — Android, Кібербезпека - 1 minute to read

Notez-moi

Екосистема Android стикається з давньою проблемою, яка збільшує цінність і використання розкритих уразливостей протягом тривалих періодів часу. Google нещодавно опублікував свій щорічний звіт про вразливості дня 0, висвітлюючи цю проблему та підкреслюючи її вплив на безпеку користувачів.

У звіті Google висвітлюється проблема n-днів в Android, які функціонують як 0-дні для загроз. Сьогодні існують загальновідомі вразливості, з доступним виправленням або без нього. Тому зловмисники можуть використовувати ці недоліки місяцями, навіть якщо було випущено виправлення.

Ця проблема виникає через складність екосистеми Android із значними розривами в інтервалах оновлення системи безпеки між різними моделями пристроїв, короткими періодами підтримки, плутаниною відповідальності та іншими проблемами. Ці розриви між постачальниками та виробниками дозволяють публічно відомим уразливостям функціонувати як 0 днів, оскільки користувач не має виправлення, і його єдиний захист — припинити використання пристрою.

Конкретні приклади

У 2022 році кілька таких проблем торкнулися Android. Наприклад, про вразливість CVE-2022-38181 у графічному процесорі ARM Mali було повідомлено групі безпеки Android у липні 2022 року, але ARM виправила її в жовтні 2022 року. Однак оновлення безпеки Android інтегрувало цей патч лише у квітні 2023 року, через шість місяців після того, як ARM вирішила проблему безпеки.

Ще два приклади – уразливості CVE-2022-3038 і CVE-2022-22706. Перший був виправлений у червні 2022 року, але не був виправлений у веб-переглядачах постачальників на основі попередніх версій Chrome. Другий був виправлений постачальником у січні 2022 року, але оновлення безпеки Android прийняло виправлення лише в червні 2023 року із затримкою в 17 місяців.

Ці затримки у виправленні роблять n-дні так само цінними, як 0-дні для загроз. Технічні деталі вразливостей уже опубліковано, що полегшує зловмисникам їх використання. Крім того, звіт про діяльність Google за 2022 рік показує, що кількість помилок нульового дня зменшилася порівняно з попереднім роком, але варіанти помилок, про які повідомлялося раніше, є причиною понад 40% виявлення вразливостей нулевого дня.

Висновок

Важливо враховувати ці проблеми безпеки в екосистемі Android. Необхідно зменшити розриви між постачальниками та виробниками, щоб забезпечити кращий захист користувачів. Оновлення безпеки слід застосовувати швидко й узгоджено на всіх моделях пристроїв. Гравці галузі повинні працювати разом, щоб вирішити ці проблеми і забезпечити безпечніше середовище Android для всіх.

Джерело нашої інформації

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Comments