Google opublikował czwarty doroczny raport dotyczący bezpieczeństwa. Co jednak najciekawsze, jak przekonuje spółka, Android mógłby być znacznie bezpieczniejszy, gdyby tylko do pracy wzięli się producenci urządzeń.
W 2022 roku odnotowano 41 ataków na Androida wykorzystujących podatności zero-day, wylicza Google. Zdaniem firmy to spory krok naprzód względem roku 2021, kiedy to incydentów tego rodzaju wykryto aż 70. Niemniej gigant i tak narzeka.
W czym więc tkwi problem? – zapytacie. Ano w tym, że, jak przekonuje spółka, podatności na czarnym rynku mogłoby być jeszcze mniej, gdyby tylko do roboty wzięli się producenci sprzętu i komponentów. Ci z kolei ponoć często bagatelizuję otrzymywane raporty.
Google wylicza, że aż 17 spośród wykrytych podatności zero-day było zgłaszanych ze stosownym wyprzedzeniem. Tylko, nie doczekało się zawczasu odpowiedniej poprawki.
Jako przykład podano lukę wykrytą w układach graficznych ARM Mali (CVE-2022-22706). Według Google, ARM Holding wiedziało o zagrożeniu już w lipcu 2022 roku, ale łatkę po swojej stronie wydało dopiero w październiku. Tymczasem przestępcy skorzystali jeszcze w listopadzie. A to dlatego, że dystrybucja update'u wśród użytkowników trwała do końca kwietnia 2023 roku.
Inny przykład to oficjalna przeglądarka Samsunga, zwana Samsung Internet Browser. Jak czytamy, przez pewien czas narzędzie korzystało z 7-miesięcznej, dziurawej wersji Chromium. Miało więc podatności, które od dawna powinny być załatane (CVE-2022-3038).
Konkludując, Google apeluje do producentów końcowych, aby na zgłoszenia reagowali szybciej. Wylicza też, że tym samym można byłoby zredukować liczbę aktywnie wykorzystywanych exploitów zero-day w systemie Android i aplikacjach dla niego o kolejne 40 proc.
Źródło zdjęć: Kaspars Grinvalds / Shutterstock
Źródło tekstu: Google, oprac. własne
