Google ha pubblicato il report annuale relativo alle vulnerabilità 0-day che sono state sfruttate nel 2022 per effettuare attacchi contro i dispositivi Android, iOS, Windows e macOS. L’azienda di Mountain View ha inoltre evidenziato il problema delle vulnerabilità n-day di Android che, a causa di patch rilasciate in ritardo, sono pericolose come le vulnerabilità 0-day.
Patch tardive o inesistenti
Nel 2022 sono state individuate 41 vulnerabilità 0-day, 28 in meno rispetto al 2021. La diminuzione potrebbe essere un fatto positivo perché ci sono meno errori di programmazione, ma anche un fatto negativo perché gli exploit sono più difficili da scoprire o perché le software house non confermano il problema di sicurezza per evitare cattiva pubblicità.
Una vulnerabilità viene definita 0-day quando l’exploit è disponibile prima del rilascio della patch. Una vulnerabilità è invece definita n-day quando la patch è disponibile, ma non è stata distribuita dal produttore. Nel caso di Android significa che Google ha rilasciato la patch per AOSP (Android Open Source Project), ma non è stata inclusa nella versione custom del sistema operativo installata sul dispositivo.
Il report evidenzia questo “gap” che può essere sfruttato dai cybercriminali. In pratica, la vulnerabilità n-day funziona come una vulnerabilità 0-day. Un esempio è la vulnerabilità CVE-2022-38181 scoperta nella GPU Mali a luglio 2022 e risolta da ARM ad ottobre 2022. L’exploit è apparso online a novembre 2022, mentre il fix è stato incluso nel codice di Android ad aprile 2023.
Google sottolinea quindi l’eccessivo ritardo tra scoperta della vulnerabilità, rilascio della patch per AOSP e aggiunta al codice della versione custom di Android. Un altro problema è rappresentato dalle patch incomplete. Su 41 vulnerabilità 0-day, 17 erano varianti di precedenti vulnerabilità, quindi i cybercriminali devono solo apportare piccole modifiche al codice degli exploit.