1 year ago
132
La frammentazione dei dispositivi Android è un problema con il quale Google e gli utenti hanno a che fare da tempo immemore, ma adesso la GrandeG ha scritto nero su bianco che per quanto riguarda le patch di sicurezza la situazione deve cambiare (sapete come aggiornare un telefono Android?).
La casa di Mountain View questa settimana ha infatti rilasciato il suo rapporto annuale Year in Review of 0-days del 2022, che riporta le vulnerabilità dell'anno nel suo complesso, cercando tendenze, lacune, lezioni apprese e successi.
E a proposito di lezione, Google afferma come il tempo di rilascio delle patch sia stata una particolare area di preoccupazione, con numerosi esempi per cui "il fornitore a monte aveva rilasciato una patch per il problema, ma il produttore a valle non aveva preso la patch e rilasciato la correzione agli utenti".
La GrandeG definisce questo tempo patch gap, e afferma che per quanto esista nella maggior parte dei sistemi in Android è "più prevalente e ampio".
Google è ancora più dura e afferma come "Questo gap tra i fornitori a monte e i produttori a valle consente a vulnerabilità di tipo n-days, ovvero note, di funzionare come 0-day (non note) perché nessuna patch è disponibile per l'utente e l'unica difesa è smettere di usare il dispositivo".
Google cita due esempi piuttosto eclatanti. Il primo riguarda una vulnerabilità della GPU ARM Mali, scoperta a luglio 2022 e corretta da ARM a ottobre 2022, ma che non è apparsa nel bollettino di sicurezza di Android fino ad aprile 2023, ben 5 mesi dopo che aveva già iniziato ad essere sfruttata.
L'altro esempio riguarda il browser Samsung Internet che era vulnerabile in parte perché utilizzava come base una versione di Chromium vecchia di sette mesi (102). In questo caso, gli aggressori hanno potuto utilizzare due vulnerabilità n-day in grado di funzionare come 0-day: "CVE-2022-3038, che era stato patchato in Chrome 105 nel giugno 2022 e CVE-2022-22706 nel driver del kernel GPU ARM Mali".
Google prosegue spiegando come ARM avesse "rilasciato la patch per CVE-2022-22706 nel gennaio 2022 e anche se era stata contrassegnata come sfruttata in natura, gli aggressori erano ancora in grado di usarla 11 mesi dopo come 0-day. Sebbene questa vulnerabilità fosse nota come sfruttata in natura nel gennaio 2022, non è stata inclusa nell'Android Security Bulletin fino a giugno 2023, 17 mesi dopo il rilascio della patch ed era pubblicamente nota per essere sfruttata attivamente".
Ma non solo. Un'altra area di preoccupazione riguarda il fatto che "oltre il 40% delle vulnerabilità 0-day fossero varianti di vulnerabilità precedentemente segnalate", il che significa che bisogna raddoppiare gli sforzi per impedire a malintenzionati di utilizzare le stesse vulnerabilità ma in aree diverse.
Google conclude affermando come i produttori "devono rilasciare rapidamente correzioni agli utenti in modo che possano essere protetti", dichiarando di essere la prima ad accettare critiche e suggerimenti per migliorare.
English (US)