Google ได้เผยแพร่รายงานช่องโหว่ Zero-days ประจำปี โดยนำเสนอสถิติการหาผลประโยชน์ที่เกิดขึ้นจากปี 2022 และเน้นย้ำปัญหาที่มีมานานบนแพลตฟอร์ม Android ซึ่งเพิ่มความปลอดภัยที่เข้มงวดขึ้น เพื่อป้องกันการโจมตี รายงานนี้เน้นให้ความสำคัญกับปัญหาของช่องโหว่ N-days
ในระบบปฏิบัติการ Android ที่ทำหน้าที่เหมือนกับช่องโหว่ Zero-days สำหรับผู้โจมตีที่ใช้ช่องโหว่นี้ในการโจมตีอุปกรณ์และระบบที่ยังไม่ได้รับการแก้ไข
ปัญหานี้เกิดจากความซับซ้อนของระบบ Android ที่มีขั้นตอนหลายขั้นตอนระหว่าง Google และผู้ผลิต Phone manufacturers ทำให้มีความแตกต่างมากในช่วงเวลาของการอัปเดตความปลอดภัยระหว่างรุ่นอุปกรณ์ที่แตกต่างกันและปัญหาอื่น ๆ
ช่องโหว่ Zero-days เป็นช่องโหว่ของซอฟต์แวร์ที่ทราบก่อนที่ผู้จำหน่ายจะรับรู้หรือแก้ไข
ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้ก่อนที่จะมีแพตช์ให้บริการ ในทางกลับกัน ช่องโหว่ N-days คือช่องโหว่ที่รู้จักในพื้นที่สาธารณะ ไม่ว่าจะมีแพตช์หรือไม่มีก็ตาม
ตัวอย่างเช่น หากมีช่องโหว่ใน Android ที่รู้จักก่อน Google จะเรียกว่า Zero-days อยู่ แต่เมื่อ Google ทราบเรื่องนี้แล้ว มันก็จะกลายเป็น N-days โดย N จะแสดงถึงจำนวนวันตั้งแต่เวลาที่เปิดเผยในพื้นที่สาธารณะ
ตามตัวอย่างที่กล่าวถึง หากมีบั๊กในระบบปฏิบัติการ Android ที่ทราบอยู่ก่อนที่ Google จะเข้าใจเรื่องนั้น จะเรียกว่า “Zero-days” คือช่องโหว่ที่เกิดขึ้นใหม่และยังไม่มีการแก้ไขเจาะประตูได้ ในขณะที่ หาก Google เรียนรู้เกี่ยวกับช่องโหว่นั้นแล้ว จะกลายเป็น “N-days” โดยตัวแปร N จะแสดงถึงจำนวนวันตั้งแต่ช่องโหว่นั้นถูกเปิดเผยให้ทราบในสาธารณะ ในขณะที่ช่องโหว่นั้นอาจจะยังคงไม่ได้รับการแก้ไขในช่วงเวลา N-days ที่กำหนด ซึ่งอาจนำไปสู่ความเสี่ยงในเรื่องความปลอดภัยและความเสียหายต่อระบบและข้อมูลในอุปกรณ์ Android ที่ยังคงมีช่องโหว่ที่ไม่ได้รับการแก้ไขอยู่
Google เตือนว่าผู้ไม่ประสงค์ดีสามารถใช้ N-days เพื่อโจมตีอุปกรณ์ที่ไม่ได้แพตช์เป็นเวลาหลายเดือน
โดยใช้วิธีการโจมตีที่รู้จักหรือสร้างขึ้นเอง แม้ว่าจะมีการแพตช์ที่มีอยู่แล้วจาก Google หรือผู้ขายอื่นๆ
แต่ผู้ไม่ประสงค์ดียังคงสามารถใช้ช่องโหว่นั้นโจมตีอุปกรณ์ที่ยังไม่ได้รับการแก้ไขได้
สาเหตุนี้เกิดจากระยะห่างของการอัปเดตแพตช์ในแต่ละครั้ง ซึ่ง Google หรือผู้ให้บริการรายอื่น
แก้ไขช่องโหว่และช่วงเวลา ที่ผู้ผลิตอุปกรณ์ใช้เวลาหลายเดือนในการปรับปรุงเปลี่ยนในรุ่นของ Android ของตนเอง
ในปี 2022 ปัญหาประเภทนี้จำนวนมากส่งผลกระทบต่อ Android โดยเฉพาะ CVE-2022-38181 ซึ่งเป็นช่องโหว่ใน ARM Mali GPU ช่องโหว่นี้ได้รับการรายงานไปยังทีมความปลอดภัยของ Android
ในเดือนกรกฎาคม 2022 และถูกตัดสินใจว่า “จะไม่แก้ไข” (won’t fix) จากนั้นภายในเดือนตุลาคม 2022 ได้มี
การแก้ไขจากทาง ARM และสุดท้ายได้รับการอัปเดตความปลอดภัยของ Android เมื่อเดือนเมษายน 2023
การโจมตียังคงดำเนินต่อไปโดยไม่มีการหยุดให้แม้ในเดือนเมษายน 2023 จนกระทั่งมีการอัปเดตความปลอดภัยของ Android ที่นำเสนอการแก้ไขปัญหาความปลอดภัย ซึ่งเป็นช่วงเวลานานถึง 6 เดือนหลังจากที่ ARM แก้ไขปัญหาความปลอดภัย ในช่วงเวลานี้ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่เพื่อโจมตี
- CVE-2022-3038: ช่องโหว่ Sandbox Escape ใน Chrome 105 ซึ่งได้รับการแก้ไขในเดือนมิถุนายน 2022 แต่ยังคงไม่ได้รับการแก้ไขบนเบราว์เซอร์ของผู้จำหน่ายที่ใช้ Chrome เวอร์ชันก่อนหน้า เช่น ‘Internet Browser’ ของ Samsung
- CVE-2022-22706 เป็นช่องโหว่ในไดรเวอร์ของ ARM Mali GPU ที่ได้รับการแก้ไขจากผู้ผลิตในเดือนมกราคม 2022
สองช่องโหว่นี้ถูกพบว่าถูกโจมตีในเดือนธันวาคม 2022 ในรูปแบบของ Attack chain ที่สามารถก่อให้เกิดการติดไวรัสด้วยสปายแวร์ในอุปกรณ์ Samsung Android
Samsung เปิดตัวการอัปเดตความปลอดภัยสำหรับ CVE-2022-22706 ในเดือนพฤษภาคม 2023 ในขณะที่การอัปเดตความปลอดภัยของ Android นำการแก้ไขของ ARM มาใช้ในการอัปเดตความปลอดภัย
ในเดือนมิถุนายน 2023
หลังจากที่ Google ออกการอัปเดตความปลอดภัยของ Android แล้ว ผู้จำหน่ายอุปกรณ์ยังต้องใช้เวลาถึงสามเดือนในการแก้ไขให้พร้อมใช้งานสำหรับรุ่นที่รองรับ ทำให้ผู้ไม่ประสงค์ดีมีโอกาสเพิ่มอีกในการโจมตีอุปกรณ์ และมีโอกาสใช้ช่องโหว่นั้นโจมตีอุปกรณ์ได้
ช่องโหว่ของแพตช์นี้ทำให้ N-days มีค่าเทียบเท่ากับ Zero-days สำหรับผู้ไม่ประสงค์ดีที่สามารถใช้ประโยชน์จากอุปกรณ์ที่ไม่ได้แพตช์ได้อย่างมีประสิทธิภาพ บางคนอาจมองว่า N-day เหล่านี้มีประโยชน์มากกว่าZero-days เนื่องจากรายละเอียดทางเทคนิคได้รับการเผยแพร่แล้ว ซึ่งอาจมีการใช้ประโยชน์จาก PoC
ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตีได้ง่ายขึ้น
สรุปกิจกรรมของ Google ในปี 2022 แสดงให้เห็นว่าช่องโหว่แบบ Zero-days ลดลงเมื่อเทียบกับปี 2021
ที่จำนวน 41 รายการ ซึ่งนับรวมช่องโหว่ 15 รายการในปีที่แล้ว คือ 26 รายการในปี 2021
คำแนะนำ
- ควรอัปเดตอุปกรณ์เสมอเพื่อป้องกันการโจมตีจาก N-days ที่สามารถใช้งานได้เหมือนกับ
Zero-days - พยายามติดตั้งโปรแกรมเท่าที่จำเป็นต้องใช้งาน โปรแกรมอะไรที่ไม่ได้ใช้ก็ลบทิ้งไป
- หากรู้สึกว่าระบบป้องกันมัลแวร์ที่มีมากับระบบปฏิบัติการ Windows ไม่อุ่นใจพอ
งานที่ทำต้องการความปลอดภัยสูงเป็นพิเศษ ก็อาจมองหา โปรแกรมแอนตี้ไวรัส (Antivirus Software) ดีๆ สักตัวมาใช้งาน
Ref : https://www.bleepingcomputer.com/news/security/google-android-patch-gap-makes-n-days-as-dangerous-as-zero-days/