Googleの前にAndroidで特定されたバグは、ゼロデイ脆弱性と呼ばれます。しかし、Googleが発見したとき、それはn日の脆弱性と呼ばれ、nは脆弱性が一般に知られてから経過した日数です。
Googleは、2022年の実際の悪用発生に関するデータを含む、毎年0日間の脆弱性レポートをリリースしました。このレポートは、Androidプラットフォーム内の永続的な問題を強調し、注意を喚起し、開示された脆弱性の重要性と長期間にわたる利用を強調しています。
正確には、Googleの要約は、Androidのn日がサイバー攻撃者のゼロ日と同等に機能することへの懸念を強調しています。この問題は、アップストリームベンダーとダウンストリームメーカーの間の多くのフェーズを含むAndroidの環境の複雑な性質から生じます。この複雑さにより、デバイス モデル間でのセキュリティ更新の遅延、短いサポート時間、責任に関する混乱、およびその他のいくつかの問題の顕著なばらつきが生じます。
Googleは、Googleや他のベンダーがパッチを利用可能にしている場合でも、ハッカーがn日間を使用して、使い慣れた手法を使用したり、自分でプログラミングしたりして、パッチなしでデバイスを悪用する可能性があると警告しました。この問題は、ベンダーがバグに対抗する方法を考案する際のパッチギャップに起因しますが、メーカーはAndroidセキュリティアップデートでリリースするのに数週間から数か月かかります。
ベンダーとメーカーの間の不一致が、n-daysのような公に知られている脆弱性がゼロデイとして動作および動作する理由であり、単一のパッチがアクセス可能またはユーザーに展開されないためです。彼らはさらに、ユーザーはそのような状況で自分の電話を使用しないことでデータを保護できると述べています。このようなギャップは、他のベンダーやメーカーの相互作用と比較して、Androidデバイスで長期間にわたってより明白です。
CVE-2022-38181と呼ばれる脆弱性は、2022年にARMマリGPUでAndroidに深刻な影響を及ぼしました。Androidセキュリティチームは、ARMが10月に修正不可能と見なした後、その年の7月に欠陥について警告を受けました 2022.ただし、2023年4月のAndroidのセキュリティアップデートに含めました。
悪いニュースは、修正アップデートのリリースから1か月後、サイバー攻撃者がこの欠陥を積極的に悪用したことです。
この悪用は制御不能であり、Androidセキュリティアップデートが最終的に修正をリリースした2023年4月まで続きました。
12月2022, さらに2つの欠陥 (CVE-2022-3038 及び CVE-2022-22706) 悪用されました, スパイウェアを含むSamsungデバイスへの一連の攻撃の結果.2023年5月、SamsungはCVE-2022-22706のセキュリティアップデートを発表しました。CVE-2022-3038 の ARM 修正は、2023 年 6 月のセキュリティ更新プログラムで利用可能でした。つまり、修正アップデートは17か月の驚くべき遅延の後に利用可能になりました。
Googleがパッチを見つけた後でも、それをサポートするモデルのアップデートをリリースするには、アップストリームベンダーが約3か月かかり、脅威アクターに悪用の期間が長くなります。
このようなパッチギャップにより、サイバー犯罪者が保護されていないパッチが適用されていないデバイスを悪用するために、0日はn日と同じくらい重要になります。
2022年、Googleはアクティブな要約で、2021年以降ゼロデイ欠陥が減少し、検出されたのはわずか41件であることを明らかにしました。彼らはまた、ブラウザのこれらの脆弱性の大幅な減少を観察し、2021年に26を発見した後、昨年検出されたのはわずか15でした。
また、2022年には、検出された0日間の欠陥の40%以上が既知の欠陥の異なるバージョンであったことも注目に値します。このような欠陥は、未知のゼロデイ欠陥と比較して修正が簡単です。