Segundo o Google, por causa da complexidade do ecossistema, o Android torna os n-days tão perigosos quanto os 0-days.
O Google publicou seu relatório anual de vulnerabilidade de 0-days, apresentando estatísticas de exploração em estado selvagem de 2022 e destacando um problema de longa data na plataforma Android que eleva o valor e o uso de falhas divulgadas por períodos prolongados.
Mais especificamente, o relatório do Google destaca o problema de n-days no Android funcionando como 0-days para agentes de ameaças.
Android torna os n-days tão perigosos quanto os 0-days
O problema decorre da complexidade do ecossistema Android, envolvendo várias etapas entre o fornecedor upstream (Google) e o fabricante downstream (fabricantes de telefones), discrepâncias significativas nos intervalos de atualização de segurança entre diferentes modelos de dispositivos, curtos períodos de suporte, mistura de responsabilidade e outros problemas.
Uma vulnerabilidade 0-days é uma falha de software conhecida antes que um fornecedor tome conhecimento ou a corrija, permitindo que ela seja explorada em ataques antes que um patch esteja disponível.
No entanto, uma vulnerabilidade de n dias é aquela que é conhecida publicamente com ou sem um patch.
Por exemplo, se um bug é conhecido no Android antes do Google, ele é chamado de 0-day. No entanto, uma vez que o Google aprende sobre isso, torna-se um n-day, com o n refletindo o número de dias desde que se tornou conhecido publicamente.
O Google adverte que os invasores podem usar n dias para atacar dispositivos não corrigidos por meses, usando métodos de exploração conhecidos ou criando seus próprios, apesar de um patch já estar disponível pelo Google ou outro fornecedor.
Isso é causado por lacunas de patch, onde o Google ou outro fornecedor corrige um bug, mas leva meses para um fabricante de dispositivo lançá-lo em suas próprias versões do Android.
“Essas lacunas entre fornecedores upstream e downstream permitem que n-days – vulnerabilidades conhecidas publicamente – funcionem como 0-days porque nenhum patch está prontamente disponível para o usuário e sua única defesa é parar de usar o dispositivo”, explica o relatório do Google.
“Embora essas lacunas existam na maioria dos relacionamentos upstream/downstream, elas são mais prevalentes e mais longas no Android.”
Em 2022, muitos problemas desse tipo afetaram o Android, principalmente o CVE-2022-38181, uma vulnerabilidade na GPU ARM Mali.
Essa falha foi relatada à equipe de segurança do Android em julho de 2022, considerada como “não será corrigida”, corrigida pela ARM em outubro de 2022 e finalmente incorporada na atualização de segurança do Android em abril de 2023.
Essa falha foi explorada em estado selvagem em novembro de 2022, um mês depois que o ARM lançou uma correção.
A exploração continuou inabalável até abril de 2023, quando a atualização de segurança do Android lançou a correção, seis meses após o ARM resolver o problema de segurança.
- CVE-2022-3038 : Falha de escape do sandbox no Chrome 105, que foi corrigida em junho de 2022, mas permaneceu sem solução em navegadores de fornecedores baseados em versões anteriores do Chrome, como o ‘Navegador de Internet’ da Samsung.
- CVE-2022-22706 : falha no driver do kernel da GPU ARM Mali corrigida pelo fornecedor em janeiro de 2022.
As duas falhas foram exploradas em dezembro de 2022 como parte de uma cadeia de ataque que infectou dispositivos Samsung Android com spyware.
A Samsung lançou uma atualização de segurança para CVE-2022-22706 em maio de 2023, enquanto a atualização de segurança do Android adotou a correção do ARM na atualização de segurança de junho de 2023, registrando um atraso impressionante de 17 meses.
Mesmo depois que o Google lança a atualização de segurança do Android, os fornecedores de dispositivos levam até três meses para disponibilizar as correções para os modelos suportados, dando aos invasores mais uma janela de oportunidade de exploração para dispositivos específicos.
Essa lacuna de patch efetivamente torna um n-day tão valioso quanto um 0-day para os agentes de ameaças que podem explorá-lo em dispositivos não corrigidos.
Alguns podem considerar esses n-days mais úteis do que 0-days, pois os detalhes técnicos já foram publicados, potencialmente com explorações de prova de conceito (PoC), tornando mais fácil para os agentes de ameaças abusarem deles.
A boa notícia é que o resumo de atividades de 2022 do Google mostra que as falhas 0-days caíram em relação a 2021, com 41 encontradas, enquanto a queda mais significativa foi registrada na categoria de navegadores, que contabilizou 15 falhas no ano passado (eram 26 em 2021).
Outra descoberta notável é que mais de 40% das vulnerabilidades 0-day descobertas em 2022 eram variantes de falhas relatadas anteriormente, pois ignorar correções para falhas conhecidas geralmente é mais fácil do que encontrar um novo dia 0 que possa servir em cadeias de ataque semelhantes.