Znane luki w Androidzie są tak samo szkodliwe jak luki typu zero-day, stwierdza Google

W najnowszym corocznym przeglądzie exploitów zero-day Google stwierdziło, że znane luki mogą być nawet gorsze niż luki zero-day.

W swoim raporcie Google pyta, czy zero-day są w ogóle potrzebne w Androidzie. Zazwyczaj luka jest najbardziej niepokojąca, zanim zostanie upubliczniona. W tym (miejmy nadzieję krótkim) okresie atakujący może wykonywać exploity bez konieczności martwienia się o łatkę. W przypadku Androida, gdy tylko Google dowie się o luce, staje się ona luką n-dniową, niezależnie od statusu łatki.

Google dodało, że w niektórych przypadkach łatki nie były dostępne dla użytkowników przez znaczną ilość czasu w całym ekosystemie, za co obwinia rozdźwięk między poprawkami wyższego szczebla (deweloperów) a wdrażaniem niższego szczebla (producentów).

W raporcie z 2022 r. zatytułowanym „Mind the Gap” stwierdzono, że dostawcy urządzeń powinni równie szybko reagować na poprawki, jak zaleca się to użytkownikom końcowym.

W 2022 r. wykryto łącznie 41 luk typu zero-day, co stanowi oszałamiający spadek o 40% w porównaniu z rokiem poprzednim, w którym wykryto 69 luk, jednak ponieważ luki typu n-day są bardziej podatne na ataki niż powinny, atakujący nie zostali poddani takiej samej redukcji powierzchni podatnych na ataki.

Jednocześnie Google zwróciło uwagę na nieskuteczne metody łatania, które służą jedynie do naprawienia wykorzystywanej metody exploita, a nie luki jako całości, co według Google nie jest kompleksowe i nie stanowi kompletnej poprawki. Idąc dalej, Google wyraźnie kładzie nacisk na jasną komunikację i współpracę, wzywając wszystkie strony do udostępnienia jak największej liczby szczegółów technicznych po szczegółowych analizach.

Firma wzywa również do „szybkiego dostarczania użytkownikom poprawek i środków zaradczych, aby mogli się chronić”.