Google yêu cầu các nhà sản xuất thiết bị Android cập nhật điện thoại của họ nhanh hơn Gã khổng lồ tìm kiếm báo cáo rằng các lỗ hổng trong Android vẫn chưa được vá trong thời gian quá dài.
Google đi vào một bài viết trên blog đặc biệt trong trường hợp có sẵn bản vá nhưng nhà sản xuất không triển khai chúng cho thiết bị của họ. Google gọi những tình huống này là N ngày. Do đó, các lỗ hổng đã được vá trong Android tiếp tục hoạt động như các lỗi chưa được vá: các lỗi chưa được vá. Thường có cơ hội để khai thác điều này.
Lỗ hổng N ngày
Một ví dụ về điều này là lỗ hổng zero-day trong GPU ARM Mali. Sau khi lỗi được Google phát hiện vào tháng 7 năm 2022, ARM đã phát hành bản vá bảo mật vào tháng 10. Một bản vá mà các nhà sản xuất bỏ qua. Chỉ khi gã khổng lồ tìm kiếm quyết định đưa bản vá vào Bản tin bảo mật vào tháng 4 năm 2023 thì các điện thoại Android dễ bị tấn công mới nhận được bản sửa lỗi. Trong thời gian trước quá trình đó, lỗ hổng này đã được báo cáo là đã bị khai thác nhiều lần.
Đôi khi các lỗ hổng không chỉ xảy ra với trình điều khiển. Suy cho cùng, Samsung đã để một lỗi trong Trình duyệt Internet của mình “không được bảo vệ” trong một thời gian dài. Rò rỉ nằm ở Crom 102, nền tảng của trình duyệt Samsung và trình điều khiển GPU ARM. Cụ thể, đây là lỗ hổng gồm hai phần, được đăng ký theo CVE-2022-3038 và CVE-2022-22706. ARM đã cố gắng vá lỗ hổng này vào tháng 1 năm 2022, sau đó Google đã phát hành bản vá tương tự trong Chrome 105 vào tháng 6 năm 2022.
Các bản vá vẫn chưa được áp dụng vào tháng 12 năm 2022. Phải đến tháng 6 năm 2023 – 17 tháng sau khi lỗ hổng này được báo cáo lần đầu tiên – Google mới bổ sung bản sửa lỗi vào Bản tin bảo mật của mình. Những lỗ hổng N-day này cũng được biết là đã bị khai thác tích cực.
Bài viết nổi bật Phần mềm độc hại Android mới ảnh hưởng đến hàng chục nghìn ứng dụng
‘Cập nhật thiết bị nhanh hơn’
Bài đăng trên blog của Google cũng kêu gọi hành động. Gã khổng lồ tìm kiếm báo cáo rằng vấn đề này không hẳn chỉ xảy ra với Android mà phổ biến hơn trên nền tảng của nó. Những vấn đề như vậy cũng thường kéo dài hơn.
Theo nhà phát triển Android, điều này đòi hỏi các bản vá kịp thời hơn trong 0 ngày. Google cũng muốn các nền tảng theo dõi các bản cập nhật trình duyệt nhanh hơn và các nhà sản xuất thiết bị và nhà sản xuất linh kiện, chẳng hạn như nhà sản xuất chip, hợp tác chặt chẽ hơn với nhau để tung ra các bản vá bảo mật nhanh hơn cũng như phát hiện các lỗ hổng nhanh hơn.
