Последнее от Google год в обзоре of Zero-Day Exploits утверждает, что известные уязвимости могут быть даже хуже, чем уязвимости нулевого дня.
В своем отчете Google спрашивает, нужны ли вообще нулевые дни на Android. Как правило, уязвимость вызывает наибольшее беспокойство до того, как она станет достоянием общественности. В течение этого (надеюсь, короткого) периода времени злоумышленник может запускать эксплойты, не заморачиваясь с патчем.
В случае Android, как только Google узнает об уязвимости, это ошибка n-day независимо от статуса исправления.
Патчи для Android слишком медленные
Google добавил, что в некоторых случаях в своей экосистеме исправления были недоступны для пользователей в течение длительного периода времени, что связано с несоответствием между исправлениями вышестоящего уровня (разработчиками) и последующим внедрением (производителями).
Отчет за 2022 год под названием «Обратите внимание на пробел» пришел к выводу, что производители устройств должны реагировать на исправления так быстро, как это рекомендуется для конечных пользователей.
Всего в 2022 году была обнаружена 41 уязвимость нулевого дня, что на целых 40% меньше, чем в предыдущем году, когда было обнаружено 69. Однако, поскольку уязвимости N-Day являются более уязвимыми, чем должны быть, злоумышленники не пострадали от такого же сокращения уязвимых поверхностей.
В то же время Google указал на неэффективные методы исправления, которые служили только для исправления используемого метода эксплойта, а не уязвимости в целом, что, по их мнению, не было всеобъемлющим и не представляло собой полное исправление.
В будущем Google явно ценит четкое общение и сотрудничество, призывая все стороны делиться как можно большим количеством технических деталей после подробного анализа.
Компания также призывает к «исправлениям и исправительным действиям». [get to] Быстро информируйте пользователей, чтобы они могли защитить себя».
