Security

Το χάσμα ενημέρωσης κώδικα Android κάνει τις n-ημέρες εξίσου επικίνδυνες με τις μηδενικές ημέρες

On

Ιούλ 30, 2023

Η Google δημοσίευσε την ετήσια έκθεση ευπάθειας 0 ημερών, παρουσιάζοντας στατιστικά στοιχεία εκμετάλλευσης από το 2022 και επισημαίνοντας ένα μακροχρόνιο πρόβλημα στην πλατφόρμα Android που ανεβάζει την αξία και τη χρήση των αποκαλυπτόμενων ελαττωμάτων για μεγάλες περιόδους.

Πιο συγκεκριμένα, η αναφορά της Google υπογραμμίζει το πρόβλημα των n-ημέρων στο Android που λειτουργούν ως 0-days για τους παράγοντες απειλών.

Το πρόβλημα πηγάζει από την πολυπλοκότητα του οικοσυστήματος Android, που περιλαμβάνει πολλά βήματα μεταξύ του upstream προμηθευτή (Google) και του μεταγενέστερου κατασκευαστή (κατασκευαστές τηλεφώνων), σημαντικές αποκλίσεις στα διαστήματα ενημερώσεων ασφαλείας μεταξύ διαφορετικών μοντέλων συσκευών, σύντομες περιόδους υποστήριξης, μίξεις ευθύνης και άλλα θέματα.

ΕΝΑ

ευπάθεια μηδενικής ημέρας

είναι ένα ελάττωμα λογισμικού που είναι γνωστό προτού ο προμηθευτής το αντιληφθεί ή το διορθώσει, επιτρέποντάς του να εκμεταλλευτεί σε επιθέσεις προτού διατεθεί μια ενημέρωση κώδικα. Ωστόσο, ένα

ευπάθεια n-day

είναι αυτό που είναι δημοσίως γνωστό με ή χωρίς patch.

Για παράδειγμα, εάν ένα σφάλμα είναι γνωστό στο Android πριν από την Google, ονομάζεται zero-day. Ωστόσο, μόλις το μάθει η Google, γίνεται n-ημέρα, με το

n

αντικατοπτρίζοντας τον αριθμό των ημερών από τότε που έγινε δημόσια γνωστή.

Η Google προειδοποιεί ότι οι εισβολείς μπορούν να χρησιμοποιήσουν n-ημέρες για να επιτεθούν σε συσκευές που δεν έχουν επιδιορθωθεί για μήνες, χρησιμοποιώντας γνωστές μεθόδους εκμετάλλευσης ή επινοώντας τις δικές τους, παρά το γεγονός ότι μια ενημέρωση κώδικα είναι ήδη διαθέσιμη από την Google ή άλλον προμηθευτή.

Αυτό προκαλείται από κενά ενημέρωσης κώδικα, όπου η Google ή άλλος προμηθευτής διορθώνει ένα σφάλμα, αλλά χρειάζονται μήνες για να το διαθέσει ένας κατασκευαστής συσκευών στις δικές του εκδόσεις Android.

“Αυτά τα κενά μεταξύ των upstream προμηθευτών και των μεταγενέστερων κατασκευαστών επιτρέπουν στις n-days – ευπάθειες που είναι δημοσίως γνωστές – να λειτουργούν ως 0-days επειδή καμία ενημέρωση κώδικα δεν είναι άμεσα διαθέσιμη στον χρήστη και η μόνη τους άμυνα είναι να σταματήσουν να χρησιμοποιούν τη συσκευή”, εξηγεί.

η αναφορά της Google

.

“Ενώ αυτά τα κενά υπάρχουν στις περισσότερες σχέσεις upstream/downstream, είναι πιο διαδεδομένα και μεγαλύτερα στο Android.”

N-ημέρες εξίσου αποτελεσματικές με τις 0-ημέρες

Το 2022, πολλά ζητήματα αυτού του είδους επηρέασαν το Android, κυρίως

CVE-2022-38181

, μια ευπάθεια στη GPU ARM Mali. Αυτό το ελάττωμα αναφέρθηκε στην ομάδα Ασφάλειας Android τον Ιούλιο του 2022, θεωρήθηκε ότι “δεν θα διορθωθεί”, επιδιορθώθηκε από την ARM τον Οκτώβριο του 2022 και τελικά ενσωματώθηκε στην ενημέρωση ασφαλείας Android του Απριλίου 2023.

Αυτό το ελάττωμα βρέθηκε ότι αξιοποιήθηκε στη φύση τον Νοέμβριο του 2022, έναν μήνα αφότου η ARM κυκλοφόρησε μια επιδιόρθωση.

Η εκμετάλλευση συνεχίστηκε αμείωτη μέχρι τον Απρίλιο του 2023, όταν η ενημέρωση ασφαλείας του Android προώθησε την επιδιόρθωση, έξι μήνες αφότου η ARM αντιμετώπισε το πρόβλημα ασφαλείας.

CVE-2022-3038

: Ελάττωμα διαφυγής του Sandbox στο Chrome 105, το οποίο διορθώθηκε τον Ιούνιο του 2022, αλλά παρέμεινε αδιευκρίνιστο σε προγράμματα περιήγησης προμηθευτών που βασίζονται σε προηγούμενες εκδόσεις του Chrome, όπως το “Πρόγραμμα περιήγησης Διαδικτύου” της Samsung.
CVE-2022-22706

: Ελάττωμα στο πρόγραμμα οδήγησης πυρήνα GPU της ARM Mali που επιδιορθώθηκε από τον προμηθευτή τον Ιανουάριο του 2022.

Τα δύο ελαττώματα διαπιστώθηκε ότι αξιοποιήθηκαν τον Δεκέμβριο του 2022 ως μέρος μιας αλυσίδας επιθέσεων που μόλυνε συσκευές Samsung Android με λογισμικό υποκλοπής.

Η Samsung κυκλοφόρησε μια ενημέρωση ασφαλείας για το CVE-2022-22706 τον Μάιο του 2023, ενώ η ενημέρωση ασφαλείας Android υιοθέτησε την επιδιόρθωση της ARM για την ενημέρωση ασφαλείας του Ιουνίου 2023, καταγράφοντας μια εκπληκτική καθυστέρηση 17 μηνών.

Ακόμη και μετά την κυκλοφορία της ενημέρωσης ασφαλείας του Android από την Google, χρειάζονται έως και τρεις μήνες από τους προμηθευτές συσκευών για να διαθέσουν τις επιδιορθώσεις για υποστηριζόμενα μοντέλα, δίνοντας στους εισβολείς ακόμη ένα παράθυρο ευκαιρίας εκμετάλλευσης για συγκεκριμένες συσκευές.

Αυτό το κενό ενημέρωσης κώδικα καθιστά αποτελεσματικά μια n-ημέρα τόσο πολύτιμη όσο μια ημέρα μηδέν για τους φορείς απειλών που μπορούν να το εκμεταλλευτούν σε μη επιδιορθωμένες συσκευές. Κάποιοι μπορεί να θεωρούν αυτές τις n-ημέρες πιο χρήσιμες από τις μηδέν-ημέρες, καθώς οι τεχνικές λεπτομέρειες έχουν ήδη δημοσιευθεί, ενδεχομένως με εκμεταλλεύσεις απόδειξης της ιδέας (PoC), διευκολύνοντας τους φορείς απειλών να τις καταχραστούν.

Τα καλά νέα είναι ότι η σύνοψη δραστηριότητας της Google για το 2022 δείχνει ότι τα ελαττώματα μηδενικής ημέρας είναι μειωμένα σε σύγκριση με το 2021, με 41 που βρέθηκαν, ενώ η πιο σημαντική πτώση καταγράφηκε στην κατηγορία των προγραμμάτων περιήγησης, η οποία μέτρησε 15 ελαττώματα πέρυσι (ήταν 26 το 2021).

Ένα άλλο αξιοσημείωτο εύρημα είναι ότι περισσότερο από το 40% των τρωτών σημείων zero-day που ανακαλύφθηκαν το 2022 ήταν παραλλαγές ελαττωμάτων που είχαν αναφερθεί προηγουμένως, καθώς η παράκαμψη διορθώσεων για γνωστά ελαττώματα είναι συνήθως ευκολότερη από την εύρεση μιας νέας 0-day που μπορεί να εξυπηρετήσει σε παρόμοιες αλυσίδες επιθέσεων.

bleepingcomputer.com