Компания Google опубликовала ежегодный отчет об уязвимостях нулевого дня, в котором представлена статистика эксплуатации проблем безопасности в реальных атаках за 2022 год. В отчете подчеркивается давняя проблема платформы Android, из-за которой эксплуатации обнаруженных уязвимостей возможна в течении длительных периодов времени.
Проблема обусловлена сложностью экосистемы Android, включающей в себя несколько этапов взаимодействия между вышестоящим звеном (Google) и нижестоящим звеном (производители телефонов), значительным расхождением в интервалах между обновлениями безопасности для различных моделей устройств, короткими сроками поддержки, путаницей в ответственности и другими проблемами.
Например, если ошибка в Android была раскрыта до того, как о ней был проинформирован Google, то она называется угрозой нулевого дня. Однако после того, как Google узнает о ней, она становится n-day угрозой, причем n означает количество дней, прошедших с момента ее публичного обнаружения.
Google предупреждает, что злоумышленники могут использовать n-day уязвимости для атак на непропатченные устройства в течение нескольких месяцев после обнаружения. Они используют известные методы эксплуатации или разрабатывают свои собственные методы, несмотря на то, что исправление уже выпущено Google или другим производителем.
Такие разрывы между вышестоящими поставщиками и нижестоящими производителями позволяют n-day уязвимостям функционировать как уязвимости нулевого дня, поскольку исправление не доступно пользователю, и его единственная защита — прекратить использование устройства.Хотя такие разрывы существуют в большинстве отношений между восходящим и нисходящим потоком, в Android они более распространены и более продолжительны.
В 2022 году в Android появилось множество проблем подобного рода, в частности, CVE-2022-38181 — уязвимость в графическом процессоре ARM Mali. Об этой уязвимости было сообщено команде безопасности Android в июле 2022 года, она была признана «не подлежащей исправлению», затем была все же исправлена компанией ARM в октябре 2022 года и, наконец, включена в обновление безопасности Android, выпущенное в апреле 2023 года.
