Android

Google は年次ゼロデイ脆弱性レポートを発表し、2022 年からの実際の悪用統計を提示し、公開された欠陥の価値と使用を長期間にわたって高める Android プラットフォームの長年の問題を強調しました。

具体的には、Google のレポートは、Android の n-day が脅威アクターにとって 0-day として機能する問題を強調しています。

この問題は、上流ベンダー (Google) と下流メーカー (携帯電話メーカー) の間のいくつかのステップ、異なるデバイス モデル間のセキュリティ アップデート間隔の大幅な差異、サポート期間の短さ、責任の取り違えなどを伴う Android エコシステムの複雑さに起因しています。問題。

ゼロデイ脆弱性とは、ベンダーが認識または修正する前に知られているソフトウェアの欠陥であり、パッチが利用可能になる前に攻撃に悪用される可能性があります。ただし、 n-day 脆弱性は、パッチの有無にかかわらず公に知られている脆弱性です。

たとえば、Google よりも先に Android でバグが知られていた場合、それはゼロデイと呼ばれます。ただし、Google がそれを知ると、n 日になり、 n は公に知られてからの日数を表します。

Google は、Google や別のベンダーによってパッチがすでに提供されているにもかかわらず、攻撃者は既知の悪用方法を使用したり、独自の方法を考案したりして、n 日をかけてパッチが適用されていないデバイスを数か月間攻撃する可能性があると警告しています。

これは、Google または他のベンダーがバグを修正するパッチ ギャップが原因ですが、デバイス メーカーがそのバグを自社のバージョンの Android に展開するまでに数か月かかります。

「上流ベンダーと下流メーカーとの間のこうしたギャップにより、ユーザーがすぐに利用できるパッチがなく、唯一の防御策はデバイスの使用を中止することであるため、n-days(公に知られている脆弱性)が0-daysとして機能することを可能にしている」とGoogleのレポートは説明している。 。

「これらのギャップはほとんどの上流と下流の関係に存在しますが、Android ではより一般的であり、その期間も長くなります。」

N 日でも 0 日と同じ効果

2022 年には、この種の多くの問題が Android に影響を及ぼしましたが、最も顕著なのは ARM Mali GPU の脆弱性であるCVE-2022-38181 でした。この欠陥は 2022 年 7 月に Android セキュリティ チームに報告され、「修正されない」とみなされ、2022 年 10 月に ARM によってパッチが適用され、最終的に Android の 2023 年 4 月のセキュリティ アップデートに組み込まれました。

この欠陥は、ARM が修正プログラムをリリースした 1 か月後の 2022 年 11 月に実際に悪用されていることが判明しました。

悪用は、ARM がセキュリティ問題に対処してからなんと 6 か月後の 2023 年 4 月まで衰えることなく続き、Android のセキュリティ アップデートで修正がプッシュされました。

  • CVE-2022-3038 : Chrome 105 のサンドボックス エスケープの欠陥。2022 年 6 月にパッチが適用されましたが、Samsung の「インターネット ブラウザ」など、以前の Chrome バージョンをベースにしたベンダー ブラウザではまだ対処されていません。
  • CVE-2022-22706 : 2022 年 1 月にベンダーによってパッチが適用された ARM Mali GPU カーネル ドライバーの欠陥。

この 2 つの欠陥は、サムスンの Android デバイスをスパイウェアに感染させる攻撃チェーンの一部として、2022 年 12 月に悪用されたことが判明しました。

Samsung は 2023 年 5 月に CVE-2022-22706 のセキュリティ更新プログラムをリリースしましたが、Android のセキュリティ更新プログラムは 2023 年 6 月のセキュリティ更新プログラムに対する ARM の修正を採用しており、17 か月という驚異的な遅延を記録しました。

Google が Android セキュリティ アップデートをリリースした後でも、デバイス ベンダーがサポートされているモデルに修正プログラムを提供できるようになるまでに最大 3 か月かかり、攻撃者に特定のデバイスに対する悪用の機会がまた新たに与えられます。

このパッチのギャップにより、パッチが適用されていないデバイス上で悪用できる攻撃者にとって、n-day はゼロデイと同じくらい価値のあるものになります。技術的な詳細がすでに公開されており、概念実証 (PoC) エクスプロイトの可能性があり、脅威アクターが悪用しやすくなっているため、これらの n デイはゼロデイよりも有用であると考える人もいるかもしれません。

良いニュースは、Google の 2022 年の活動概要によると、ゼロデイ欠陥は 2021 年に比べて減少しており、発見された件数は 41 件であり、最も大幅な減少が記録されたのはブラウザ カテゴリであり、昨年の欠陥数は 15 件でした (2021 年は 26 件)。

もう 1 つの注目すべき発見は、2022 年に発見されたゼロデイ脆弱性の 40% 以上が、以前に報告された欠陥の亜種であったことです。これは、既知の欠陥に対する修正をバイパスする方が、同様の攻撃チェーンに機能する可能性のある新しいゼロデイ脆弱性を見つけるよりも通常は簡単であるためです。