Google cette semaine libéré sa quatrième revue annuelle de l'année sur les jours 0, qui sont des vulnérabilités de sécurité totalement inconnues exploitées dans la nature. L’écart entre les correctifs Android était un sujet de préoccupation particulier en 2022.
L’une des conclusions concerne Android et comment 2022 a vu une « série de cas où le fournisseur en amont avait publié un correctif pour le problème, mais le fabricant en aval n’avait pas pris le correctif et n’avait pas publié le correctif que les utilisateurs pouvaient appliquer ». Alors que les lacunes en matière de correctifs « existent dans la plupart des relations amont/aval » entre les plates-formes, Google affirme qu'elles sont « plus répandues et plus longues sur Android ».
Ces écarts entre les fournisseurs en amont et les fabricants en aval permettent aux n-days – vulnérabilités publiquement connues – de fonctionner comme des 0-days car aucun correctif n’est facilement disponible pour l’utilisateur et leur seule défense est d’arrêter d’utiliser l’appareil.
Google a cité deux exemples l'année dernière, à commencer par une vulnérabilité du GPU ARM Mali qui n'a été corrigée par Android qu'en avril de cette année, soit « 6 mois après la publication initiale par ARM, 9 mois après le rapport initial de Man Yue Mo et 5 mois après la publication initiale d'ARM. des mois après avoir été découvert pour la première fois en train d’être activement exploité dans la nature.
- Juillet 2022 : signalé à l'équipe de sécurité Android
- Août 2022 : la sécurité Android étiquette « ne réparera pas » et l'envoie à ARM
- Octobre 2022 : Bug corrigé par ARM
- Novembre 2022 : découverte d'un exploit dans la nature
- Avril 2023 : inclus dans le bulletin de sécurité Android
Le autre exemple impliquait que Samsung Internet était vulnérable en partie parce que le navigateur utilisait une version de Chromium vieille de sept mois (102).
Dans le cadre de cette chaîne, les attaquants ont pu utiliser deux vulnérabilités n-day capables de fonctionner comme 0-day : CVE-2022-3038 qui avait été corrigée dans Chrome 105 en juin 2022 et CVE-2022-22706 dans Chrome 105 en juin 2022. le pilote du noyau GPU ARM Mali. ARM avait publié le correctif pour CVE-2022-22706 en janvier 2022 et même s'il avait été marqué comme exploité à l'état sauvage, les attaquants pouvaient toujours l'utiliser 11 mois plus tard en tant que jour 0. Bien que cette vulnérabilité ait été connue comme exploitée à l’état sauvage en janvier 2022, elle n’a été incluse dans le bulletin de sécurité Android qu’en juin 2023, 17 mois après la publication du correctif, et elle était publiquement connue pour être activement exploitée à l’état sauvage.
Google affirme que l’industrie « doit fournir rapidement des correctifs et des mesures d’atténuation aux utilisateurs afin qu’ils puissent se protéger ».
Ailleurs, les navigateurs Zero Days sont en panne, grâce aux mesures d'atténuation mises en œuvre par Chrome, Safari et Firefox, mais cela est également dû au fait que les attaquants exploitent des exploits 0-click qui ciblent d'autres parties du système d'exploitation ou du matériel.
Un autre sujet de préoccupation est le fait que « plus de 40 % des vulnérabilités 0-day découvertes étaient des variantes de vulnérabilités signalées précédemment », nécessitant ainsi une analyse plus approfondie et des solutions plus approfondies afin que les attaquants ne puissent pas continuer à utiliser les mêmes problèmes mais dans des domaines différents.