2023/07/30

Atrasos nas actualizações Android torna N-days em 0-days

A demora na aplicação de actualizações de segurança em Android faz com que falhas N-day se tornem tão graves quanto as 0-day, por vezes durante mais de um ano.

Está mais que demonstrado que, actualmente, é praticamente impossível produzir e vender um produto "seguro", sendo apenas uma questão de tempo até que seja descoberta uma qualquer falha ou vulnerabilidade que deixará produtos e utilizadores em risco. Como tal, a única coisa que se pode exigir é que, quando isso acontecer, exista uma política de actualizações que trate do assunto o mais rapidamente possível.

As falhas 0-day designam as falhas que estão potencialmente a ser usadas por atacantes antes que o fabricante tivesse conhecimento delas, sendo por isso consideradas de grande gravidade. Depois do fabricante ou responsável tomar conhecimento delas, torna-se numa falha n-day, em que já é conhecida há N dias. E infelizmente, na prática, estas falhas continuam a ser tão (ou ainda mais) graves que as falhas 0-day devido à demora na aplicação das correcções.

No sistema Android é comum que uma falha demore várias semanas a ser corrigida. Essas semanas tornam-se meses quando se trata de serem aplicadas por outros fabricantes ou estão dependentes de fabricantes de componentes; e há casos em que isso pode prolongar-se por mais de um ano. A falha CVE-2022-22706 referente a um bug no driver dos GPU Mali da ARM foi corrigida pela ARM em Janeiro de 2022, mas só chegou à actualização de segurança dos Android em Junho de 2023!

Isto torna estas falhas N-day mais graves que as 0-day pois, ao contrário destas (que obrigam a ter recursos para as descobrir), são falhas que são divulgadas publicamente e ficam à disposição para que qualquer grupo de hackers as possa explorar de forma facilitada. E, sabendo-se que irá demorar meses até que as correcções cheguem aos dispositivos, há todo um universo de centenas de milhões de potenciais vítimas à disposição. E isto sem sequer considerarmos todos os smartphones Android que nem sequer irão receber qualquer actualização e ficarão em risco permanente.

Sem comentários:

Enviar um comentário (problemas a comentar?)