近日，谷歌發(fā)布了年度零日漏洞報(bào)告，展示了 2022 年的野外漏洞統(tǒng)計(jì)數(shù)據(jù)，并強(qiáng)調(diào)了 Android 平臺(tái)中長(zhǎng)期存在的問題，該問題在很長(zhǎng)一段時(shí)間內(nèi)提高了已披露漏洞的價(jià)值和使用。

更具體地說，谷歌的報(bào)告強(qiáng)調(diào)了安卓系統(tǒng)中的 "N-days "問題，該問題源于安卓生態(tài)系統(tǒng)的復(fù)雜性，涉及上游供應(yīng)商（谷歌）和下游制造商（手機(jī)制造商）之間的多個(gè)環(huán)節(jié)。致使不同設(shè)備型號(hào)之間的安全更新時(shí)間存在重大差異，即對(duì)于威脅行為者來說，"N-days "就是 "0-days"。

“0-day漏洞”（又稱零日漏洞），通常就是指還沒有補(bǔ)丁的安全漏洞，也就是已經(jīng)被少數(shù)人發(fā)現(xiàn)的，但還沒被傳播開來，官方還未修復(fù)的漏洞。 當(dāng)“0-day漏洞”被發(fā)現(xiàn)并公開后，沒有補(bǔ)丁的一段時(shí)間內(nèi)（通常時(shí)間會(huì)很短），根據(jù)習(xí)慣這個(gè)漏洞會(huì)被稱為1-day漏洞。當(dāng)廠商提供了修復(fù)補(bǔ)丁，但是漏洞仍然還在被利用時(shí)，我們一般會(huì)稱呼這個(gè)漏洞為N-day漏洞。

谷歌在報(bào)告中表示，盡管谷歌或其他廠商已經(jīng)提供了補(bǔ)丁，但攻擊者仍可以利用該漏洞。因?yàn)榧词构雀杌蚱渌麖S商修復(fù)了漏洞，但下游的設(shè)備制造商仍需要幾個(gè)月的時(shí)間才能在自己的安卓版本中推出。

因此，上游廠商和下游廠商之間補(bǔ)丁的間隔使得N-days（公開已知的漏洞）可以像0-days一樣，因?yàn)橛脩魺o(wú)法隨時(shí)獲得補(bǔ)丁，他們唯一的辦法就是停止使用設(shè)備。

N-days 與 0-days 同樣危險(xiǎn)

2022 年，諸如此類的問題對(duì)安卓系統(tǒng)造成了很大的影響，其中最著名的是 CVE-2022-38181，這是 ARM Mali GPU 中的一個(gè)漏洞。該漏洞于 2022 年 7 月報(bào)告給安卓安全團(tuán)隊(duì)，被認(rèn)定為 "無(wú)法修復(fù)"，2022 年 10 月被 ARM 修補(bǔ)，最后被納入安卓 2023 年 4 月的安全更新中。

2022 年 11 月，即 ARM 發(fā)布修補(bǔ)程序一個(gè)月后，該漏洞在野外被發(fā)現(xiàn)。

直到 2023 年 4 月，Android 安全更新推送修復(fù)程序時(shí)，對(duì)該漏洞的利用仍有增無(wú)減，這距離 ARM 解決該安全問題足足過去了 6 個(gè)月。

CVE-2022-3038：Chrome 105 中的沙箱逃逸漏洞，該漏洞已于 2022 年 6 月得到修補(bǔ)，但基于早期 Chrome 版本的供應(yīng)商瀏覽器（如三星的 "互聯(lián)網(wǎng)瀏覽器"）仍未得到解決。

CVE-2022-22706：ARM Mali GPU 內(nèi)核驅(qū)動(dòng)程序中的漏洞，供應(yīng)商已于 2022 年 1 月修補(bǔ)了該漏洞。

這兩個(gè)漏洞于 2022 年 12 月被發(fā)現(xiàn)利用，是三星安卓設(shè)備感染間諜軟件的攻擊鏈的一部分。

三星于 2023 年 5 月發(fā)布了針對(duì) CVE-2022-22706 的安全更新，而安卓安全更新則在 2023 年 6 月的安全更新中采用了 ARM 的修復(fù)程序，延遲時(shí)間長(zhǎng)達(dá) 17 個(gè)月之久。

即使谷歌發(fā)布了安卓安全更新，設(shè)備供應(yīng)商也需要長(zhǎng)達(dá)三個(gè)月的時(shí)間才能為支持的機(jī)型提供修補(bǔ)程序，這就給攻擊者提供了針對(duì)特定設(shè)備攻擊的機(jī)會(huì)。

這種補(bǔ)丁間隙實(shí)際上使 "N-day "與 "0-day "具有同等威脅，威脅者可以在未打補(bǔ)丁的設(shè)備上利用 "N-day"。相比于0日漏洞N-day可能威脅會(huì)更大，因?yàn)槠浼夹g(shù)細(xì)節(jié)已經(jīng)公布，可能還有概念驗(yàn)證（PoC）漏洞，使威脅者更容易濫用它們。

好消息是，谷歌 2022 年的活動(dòng)總結(jié)顯示，零日漏洞與 2021 年相比有所下降，發(fā)現(xiàn)了 41 個(gè)，而瀏覽器類別的下降幅度最大，發(fā)現(xiàn)了 15 個(gè)漏洞（2021 年為 26 個(gè)）。

另一個(gè)值得注意的發(fā)現(xiàn)是，在 2022 年發(fā)現(xiàn)的零日漏洞中，有 40% 以上是以前報(bào)告過的漏洞的變種，因?yàn)槔@過已知漏洞的修復(fù)程序通常，比找到一個(gè)新型零日漏洞要容易得多。

參考鏈接：https://www.bleepingcomputer.com/news/security/google-android-patch-gap-makes-n-days-as-dangerous-as-zero-days/