Google ได้เผยแพร่รายงานช่องโหว่ zero-day ประจำปี โดยนำเสนอสถิติที่เกิดขึ้นจริงตั้งแต่ปี 2022 และเน้นปัญหาที่มีมาอย่างยาวนานในแพลตฟอร์ม Android และการโจมตีโดยใช้ช่องโหว่ที่ถูกเปิดเผยมาเป็นระยะเวลานาน
โดยเฉพาะอย่างยิ่ง รายงานของ Google เน้นไปที่ปัญหาของการโจมตีช่องโหว่แบบ n-days ใน Android ที่มีลักษณะเดียวกับ zero-day สำหรับผู้โจมตี
ปัญหาเกิดจากความซับซ้อนของ Android ซึ่งเกี่ยวข้องกับหลายขั้นตอนระหว่างผู้จัดจำหน่ายต้นทางอย่าง Google และปลายทางอย่าง phone manufacturers ความแตกต่างที่สำคัญในช่วงการอัปเดตความปลอดภัยระหว่างรุ่นอุปกรณ์ที่แตกต่างกัน ระยะเวลาการสนับสนุนที่สั้น ความรับผิดชอบ และปัญหาอื่น ๆ
- ช่องโหว่ zero-day คือช่องโหว่ของซอฟต์แวร์ที่ถูกเปิดเผยออกมาก่อนที่เจ้าของผลิตภัณฑ์จะรับรู้ หรือทำการแก้ไข ทำให้สามารถถูกโจมตีได้ก่อนที่แพตช์จะพร้อมใช้งาน
- ช่องโหว่แบบ n-day คือช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะไม่ว่าจะมี หรือไม่มีแพตช์ออกมาแล้วก็ตาม
ตัวอย่างเช่น หากมีการเปิดเผยช่องโหว่ใน Android ก่อน Google จะรับทราบ จะเรียกว่า Zero-day จากนั้นเมื่อ Google รับทราบถึงช่องโหว่ ก็จะกลายเป็น n-day โดยที่ n แสดงถึงจำนวนวันตั้งแต่ช่องโหว่เริ่มถูกเปิดเผยออกสู่สาธารณะ
โดย Google แจ้งเตือนว่าผู้โจมตีสามารถใช้ช่องโหว่แบบ n-days เพื่อโจมตีอุปกรณ์ที่ไม่ได้ทำการอัปเดตแพตช์เป็นเวลาหลายเดือน โดยใช้เครื่องมือการโจมตีที่เป็นที่รู้จัก หรือคิดค้นขึ้นมาเอง แม้ว่า Google หรือผู้ให้บริการรายอื่นจะมีแพตช์ออกมาแล้วก็ตาม
ซึ่งสาเหตุเกิดจากช่องว่างของแพตช์ที่ Google หรือผู้ให้บริการรายอื่นดำเนินการแก้ไขช่องโหว่ แต่ต้องใช้เวลาหลายเดือนกว่าที่ผู้ผลิตอุปกรณ์จะเปิดตัวใน Android เวอร์ชันของตนเอง
รายงานของ Google ระบุว่า "ช่องว่างระหว่างผู้จัดจำหน่ายต้นทาง และปลายทางทำให้ช่องโหว่แบบ n-days ที่ถูกเปิดเผยออกสู่สาธารณะ กลายเป็น Zero-day เนื่องจากไม่มีแพตช์ที่พร้อมใช้งานสำหรับผู้ใช้งาน และการป้องกันเพียงอย่างเดียวคือการหยุดใช้อุปกรณ์นั้น ๆ"
N-day มีผลเท่ากับ Zero-day
ในปี 2022 มีช่องโหว่ลักษณะนี้จำนวนมากที่ส่งผลกระทบต่อ Android โดยเฉพาะ CVE-2022-38181 ซึ่งเป็นช่องโหว่ใน ARM Mali GPU โดยช่องโหว่นี้ได้รับการรายงานไปยังทีมความปลอดภัยของ Android ในเดือนกรกฎาคม 2022 ซึ่งกว่าจะได้รับการแก้ไขโดย ARM ก็เดือนตุลาคม 2022 และสุดท้ายถูกนำมารวมอยู่ในการอัปเดตความปลอดภัยของ Android ในเดือนเมษายน 2023
โดยช่องโหว่นี้ถูกพบว่านำมาใช้ประโยชน์ในการโจมตีอย่างกว้างขวางในเดือนพฤศจิกายน 2022 หนึ่งเดือนหลังจากที่ ARM ปล่อยแพตซ์อัปเดต
การโจมตียังคงดำเนินต่อไปจนถึงเดือนเมษายน 2023 เมื่อการอัปเดตความปลอดภัยของ Android ทั้งหมดได้รับการแก้ไข ซึ่งใช้เวลาถึงหกเดือนหลังจาก ARM ออกแพตซ์อัปเดต
- CVE-2022-3038 : ช่องโหว่ Sandbox Escape ใน Chrome 105 ซึ่งได้รับการแก้ไขในเดือนมิถุนายน 2022 แต่ยังคงไม่ได้รับการแก้ไขบนเบราว์เซอร์ของผู้ผลิตที่ใช้ Chrome รุ่นก่อนหน้า เช่น 'Internet Browser' ของ Samsung
- CVE-2022-22706 : ช่องโหว่ในไดรเวอร์เคอร์เนล ARM Mali GPU ที่แก้ไขโดยผู้ผลิตในเดือนมกราคม 2022
โดยพบว่าช่องโหว่ทั้งสองถูกนำไปใช้ประโยชน์ในการโจมตีในเดือนธันวาคม 2022 โดยเป็นส่วนหนึ่งของการโจมตีที่ทำให้อุปกรณ์ Android ของ Samsung ติดสปายแวร์
Samsung ออกแพตซ์อัปเดตความปลอดภัยสำหรับ CVE-2022-22706 ในเดือนพฤษภาคม 2023 ในขณะที่การอัปเดตความปลอดภัยของ Android ของ ARM ได้รับการอัปเดตความปลอดภัยในเดือนมิถุนายน 2023 ซึ่งมีความล่าช้าถึง 17 เดือน
แม้ว่า Google จะออกแพตซ์อัปเดตความปลอดภัยของ Android แล้ว ผู้จำหน่ายอุปกรณ์ก็ใช้เวลาถึง 3 เดือนในการแก้ไขสำหรับรุ่นที่รองรับ จึงทำให้ผู้โจมตีมีโอกาสในการใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ต่าง ๆ ได้อีกทางหนึ่ง
ช่องว่างของแพตช์นี้ทำให้ n-day มีผลเท่ากับ zero-day สำหรับผู้โจมตีที่สามารถใช้ประโยชน์จากอุปกรณ์ที่ไม่ได้ทำการอัปเดตแพตช์ได้อย่างมีประสิทธิภาพ บางคนอาจมองว่า n-days เหล่านี้มีความอันตรายมากกว่า zero-day เนื่องจากส่วนใหญ่มีรายละเอียดทางเทคนิคถูกเปิดเผยออกมาแล้ว ซึ่งอาจมีการใช้ประโยชน์จาก Proof-of-concept (PoC) ซึ่งทำให้ผู้โจมตีสามารถโจมตีได้ง่ายขึ้น
ข้อดีคือรายงานของ Google ในปี 2022 แสดงให้เห็นว่าช่องโหว่แบบ Zero-day ลดลงเมื่อเทียบกับปี 2021 โดยพบ 41 รายการ ในขณะที่การลดลงที่เยอะที่สุดอยู่ในหมวดหมู่ของเบราว์เซอร์ ซึ่งนับเป็นช่องโหว่ 15 รายการในปีที่แล้ว (ในปี 2021 มี 26 รายการ)
ที่น่าสังเกตอีกอย่างหนึ่งคือ กว่า 40% ของช่องโหว่ Zero-day ที่ค้นพบในปี 2022 เป็นช่องโหว่รูปแบบต่าง ๆ ของช่องโหว่ที่เคยถูกรายงานมาก่อนหน้านี้ เนื่องจากการ bypass การแก้ไขช่องโหว่ที่มีรายละเอียดออกมาแล้ว มักจะง่ายกว่าการค้นหา Zero-day ใหม่
ที่มา : bleepingcomputer
You must be logged in to post a comment.