Google, yıllık 0 günlük güvenlik açığı raporunu yayınladı, 2022'den itibaren wild sömürü istatistikleri sundu ve Android platformunda, açıklanan kusurların değerini ve kullanımını uzun süreler için yükselten uzun süredir devam eden bir sorunu vurguladı.
Daha spesifik olarak, Google'ın raporu, Android'deki N-Days sorununu, tehdit aktörleri için 0 gün olarak işlev görüyor.
Sorun, yukarı akış satıcısı (Google) ile aşağı akış üreticisi (telefon üreticileri) arasında birkaç adım, farklı cihaz modelleri, kısa destek süreleri, sorumluluk karışımları ve diğerleri arasındaki güvenlik güncellemeleri arasında önemli tutarsızlıklar içeren Android ekosisteminin karmaşıklığından kaynaklanmaktadır. sorunlar.
Sıfır gün güvenlik açığı, bir satıcı farkına varmadan veya düzeltmeden önce bilinen bir yazılım kusurudur, bu da bir yama mevcut olmadan önce saldırılarda kullanılmasına izin verir. Bununla birlikte, N-Day güvenlik açığı, yama ile veya yama olmadan bilinen bir güvenlik açığıdır.
Örneğin, Google'dan önce Android'de bir hata biliniyorsa, buna sıfır gün denir. Ancak, Google bunu öğrendikten sonra, N gün olur, N, kamuya açıklandığından bu yana geçen gün sayısını yansıtır.
Google, saldırganların, Google veya başka bir satıcı tarafından halihazırda sunulmasına rağmen, bilinen sömürü yöntemlerini kullanarak veya kendilerini tasarlamak için aylarca sınırsız cihazlara saldırmak için N-Days kullanabileceği konusunda uyarıyor.
Bu, Google veya başka bir satıcının bir hatayı düzelttiği yama boşluklarından kaynaklanır, ancak bir cihaz üreticisinin kendi Android sürümlerinde yayınlaması aylar sürer.
Google'ın raporu, "Yukarı akış satıcıları ve aşağı akış üreticileri arasındaki bu boşluklar, n -günlerinin - herkese açık olarak bilinen güvenlik açıklarının - 0 gün olarak işlev görmesine izin verir, çünkü kullanıcı için hiçbir yama mevcut değildir ve tek savunmaları cihazı kullanmayı durdurmaktır." .
Diyerek şöyle devam etti: "Bu boşluklar çoğu akış yukarı/aşağı akış ilişkilerinde mevcut olsa da, Android'de daha yaygın ve daha uzun."
2022'de, bu türden birçok sorun Android'i, en önemlisi CVE-2022-38181, Mali GPU kolunda bir kırılganlık olan etkiledi. Bu kusur, Temmuz 2022'de Android güvenlik ekibine bildirildi, Ekim 2022'de ARM tarafından yamalandı ve sonunda Android Nisan 2023 güvenlik güncellemesine dahil edildi.
Bu kusurun, ARM'nin bir düzeltme yayınlamasından bir ay sonra Kasım 2022'de Wild'da sömürüldüğü bulundu.
Sömürü, Android güvenlik güncellemesinin düzeltmeyi zorladığı Nisan 2023'e kadar hız kesmeden devam etti, bu da ARM güvenlik sorununu ele almasından altı ay sonra.
İki kusurun Aralık 2022'de Samsung Android cihazlarını casus yazılımlarla enfekte eden bir saldırı zincirinin bir parçası olarak kullanıldığı bulundu.
Samsung, Mayıs 2023'te CVE-2022-22706 için bir güvenlik güncellemesi yayınlarken, Android Güvenlik Güncellemesi, 17 aylık şaşırtıcı bir gecikme kaydederek Haziran 2023 güvenlik güncellemesinde ARM'nin düzeltmesini benimsedi.
Google, Android güvenlik güncellemesini yayınladıktan sonra bile, düzeltmeleri desteklenen modeller için kullanılabilir hale getirmek için aygıt satıcılarını üç aya kadar alır ve saldırganlara belirli cihazlar için başka bir sömürü fırsatı penceresi verir.
Bu yama boşluğu, bir N-Day'i, onu açılmamış cihazlarda kullanabilen tehdit aktörleri için sıfır gün kadar değerli hale getirir. Bazıları, teknik detaylar zaten yayınlanmış, potansiyel olarak kavram kanıtı (POC) istismarları ile bu N-günleri sıfır günlerden daha kullanışlı olarak düşünebilir ve bu da tehdit aktörlerinin onları kötüye kullanmasını kolaylaştırır.
İyi haber şu ki, Google'ın 2022 etkinlik özeti, sıfır gün kusurlarının 41'de bulunan 2021'e kıyasla düştüğünü gösterirken, en önemli düşüş geçen yıl 15 kusur sayan tarayıcılar kategorisinde kaydedildi (2021'de 26).
Bir başka dikkate değer bulgu, 2022'de keşfedilen sıfır gün güvenlik açıklarının% 40'ından fazlasının daha önce bildirilen kusurların varyantları olmasıdır, çünkü bilinen kusurlar için düzeltmeleri atlamak genellikle benzer saldırı zincirlerinde hizmet edebilecek yeni bir 0 gün bulmaktan daha kolaydır.
Android Temmuz Güvenlik Güncellemeleri Üç aktif olarak sömürülen hataları düzeltin
Android Güvenlik Güncellemesi Mali GPU hatasını sıfır gün olarak sömürdü
Google Play, kötü amaçlı yazılım gönderimlerini engellemek için iş kontrollerini zorlayacak
Google, vahşi doğada istismar ile yeni krom sıfır gün kusurunu düzeltir
Google Play'den 421 milyon kez yüklü casus yazılımlı Android uygulamaları
Kaynak: Bleeping Computer