Google： Android 世界裡零日漏洞與N日漏洞同樣危險!

近日，Google近日發佈年度零日漏洞報告，統計 2022 年的在野漏洞利用狀況，並強調了 Android 生態圈中長期存在的問題：N日漏洞。
 
Google報告強調Android系統中的「N日漏洞」來自於Android生態系統的複雜性，涉及Google和下游製造商、軟體設計商之間的多個環節。導致不同設備型號之間的安全更新時間差異相當大。對惡意駭客來說，「N日漏洞」跟零日漏洞沒有差別。
 
零日漏洞意指還沒有被修補的安全漏洞，也就是已經被少數人發現，但尚未傳播開，官方也還未修復的漏洞。當漏洞已被修補，但仍然被利用時，則被稱為「N日漏洞」。Google表示，儘管Google或其他廠商已經提供了修補，但攻擊者仍可能可以利用該漏洞，因為即使Google或其他廠商修復了漏洞，但下游的設備製造商仍需要幾個月的時間才能在自己設備的Android版本中推出。

因此，上游廠商和下游廠商之間漏洞修補時間差使得N日漏洞可以像零日漏洞一樣危險，因為用戶無法立即獲得修補，唯一的辦法就是停止使用設備。
 
2022 年N日漏洞對Android系統造成了很大的影響，其中最著名的是 CVE-2022-38181，這是 ARM Mali GPU的漏洞。該漏洞於 2022 年 7 月報告給Android安全團隊，通報時CVE-2022-38181被認定為無法修復。到了該年 10 月才被 ARM 修補，而到 2023 年 4 月才被納入Android安全更新中。時間差高達6個月。

另一個例子是CVE-2022-3038：Chrome 105 中的沙箱逃逸漏洞，該漏洞已於 2022 年 6 月得到修補，但較早版本的廠商自訂 Chrome 商流覽器上未修補。而 CVE-2022-22706：ARM Mali GPU 內核驅動程式中的漏洞，ARM已於 2022 年 1 月修補了該漏洞。這兩個漏洞於 2022 年 12 月被發現利用，是三星Android設備感染間諜軟體的攻擊鏈一部分。三星於 2023 年 5 月發佈了針對 CVE-2022-22706 的安全更新，而Android安全更新則在 2023 年 6 月的安全更新中採用了 ARM 的修復程式，時間差長達 17 個月之久。

即使Google發佈了Android安全更新，設備供應商也需要長達三個月的時間才能為支援的機型提供修補程式，這就給攻擊者提供了針對特定設備攻擊的機會。並且N日漏洞可能威脅會更大，因為技術細節已被公佈，可能還有概念驗證（PoC）參考，讓威脅者更容易濫用。

好消息是，Google 2022 年報告總結顯示，2022年零日漏洞與 2021 年相比有所下降，其中瀏覽器漏洞減少最多。另一個值得注意的發現是，在 2022 年發現41個零日漏洞中，有 40% 以上是已披露漏洞的變種，因為繞過已知漏洞的修復程式通常比找到一個新的零日漏洞要容易得多。

本文轉載自BleepingComputer。