O Google publicou seu relatório anual de vulnerabilidade de 0 dias (zero dias), apresentando estatísticas de exploração em estado selvagem de 2022. O relatório em questão, destaca um problema de longa data na plataforma Android que eleva o valor e o uso de falhas divulgadas por períodos prolongados. A lacuna de patch do Android aponta que vulnerabilidades N dias são tão perigosas quanto os zero dias.
Mais especificamente, o relatório do Google destaca o problema de n-days (N dias) no Android funcionando como zero dias para agentes de ameaças. Esse problema decorre da complexidade do ecossistema Android, envolvendo várias etapas entre o fornecedor upstream (Google) e o fabricante downstream (fabricantes de telefones), discrepâncias significativas nos intervalos de atualização de segurança entre diferentes modelos de dispositivos, curtos períodos de suporte, mistura de responsabilidade e outros problemas.
Vulnerabilidades do Android: zero dia e N dias
Uma vulnerabilidade de zero dia é uma falha de software conhecida antes que um fornecedor tome conhecimento ou a corrija, permitindo que ela seja explorada em ataques antes que um patch esteja disponível. No entanto, uma vulnerabilidade de N dias é aquela que é conhecida publicamente com ou sem um patch.
Por exemplo, se um bug é conhecido no Android antes do Google, ele é chamado de zero dia. No entanto, uma vez que o Google aprende sobre isso, torna-se um dia N, com o N refletindo o número de dias desde que se tornou conhecido publicamente.
O Google adverte que os invasores podem usar N dias para atacar dispositivos não corrigidos por meses, usando métodos de exploração conhecidos ou criando seus próprios, apesar de um patch já estar disponível pelo Google ou outro fornecedor. Isso é causado por lacunas de patch, onde o Google ou outro fornecedor corrige um bug, mas leva meses para um fabricante de dispositivo lançá-lo em suas próprias versões do Android.
N dias tão eficazes quanto zero dias
Em 2022, muitos problemas desse tipo afetaram o Android, principalmente o CVE-2022-38181, uma vulnerabilidade na GPU ARM Mali. Essa falha foi relatada à equipe de segurança do Android em julho de 2022, considerada como “não será corrigida”, corrigida pela ARM em outubro de 2022 e finalmente incorporada na atualização de segurança do Android em abril de 2023.
Essa falha foi explorada em estado selvagem em novembro de 2022, um mês depois que o ARM lançou uma correção. Além disso, essa exploração continuou inabalável até abril de 2023, quando a atualização de segurança do Android lançou a correção, seis meses após o ARM resolver o problema de segurança.
As duas falhas foram exploradas em dezembro de 2022 como parte de uma cadeia de ataque que infectou dispositivos Samsung Android com spyware. A Samsung lançou uma atualização de segurança para CVE-2022-22706 em maio de 2023, enquanto a atualização de segurança do Android adotou a correção do ARM na atualização de segurança de junho de 2023 , registrando um atraso impressionante de 17 meses.
Mesmo depois que o Google lança a atualização de segurança do Android, os fornecedores de dispositivos levam até três meses para disponibilizar as correções para os modelos suportados, dando aos invasores mais uma janela de oportunidade de exploração para dispositivos específicos.
Essa lacuna de patch efetivamente torna um dia N tão valioso quanto um zero dia para os agentes de ameaças que podem explorá-lo em dispositivos não corrigidos. Alguns podem considerar esses n-days mais úteis do que zero-days, pois os detalhes técnicos já foram publicados, potencialmente com explorações de prova de conceito (PoC), tornando mais fácil para os agentes de ameaças abusarem deles.
A boa notícia é que o resumo de atividades de 2022 do Google mostra que as falhas de zero dia caíram em relação a 2021, com 41 encontradas, enquanto a queda mais significativa foi registrada na categoria de navegadores, que contabilizou 15 falhas no ano passado (eram 26 em 2021).