Google ha pubblicato una analisi sull'andamento degli attacchi zero-day che ha rilevato nel corso del 2022. O, per essere più precisi, delle vulnerabilità zero-day che ha rilevato essere state sfruttate attivamente con exploit rintracciabili in rete.

L'analisi presenta diverse conclusioni interessanti, ma la principale - e più seria - è che nel mondo Android lo scenario delle minacce zero-day è ulteriormente aggravato dal mancato patching dei sistemi operativi specifici dei vari smartphone. Patching che i produttori di device dovrebbero fare regolarmente e prontamente. E invece non fanno.

Questo porta il Threat Analysis Group (TAG) di Google a concludere che le vulnerabilità per così dire "n-days" di fatto funzionano per molto tempo quanto gli attacchi zero-day. Perché la vulnerabilità n-days è nota, ma la relativa patch non è stata pubblicata o, più spesso, non è stata distribuita. Lo stesso problema esiste su altre piattaforme, spiega Google, ma su Android è macroscopico.

Il TAG cita il caso emblematico della vulnerabilità catalogata come CVE-2022-38181. Questa è stata segnalata nel luglio 2022 da un ricercatore di Github al team sicurezza di Android. Il team l'ha "passata" ad ARM perché l'ha catalogata come una vulnerabilità non generale ma solo di alcuni dispositivi con processore ARM. Il produttore di CPU ha sviluppato una patch a ottobre 2022.

A quel punto i tempi erano già lunghi: poco dopo - a novembre 2022 - è stato scoperto che la vulnerabilità era già sfruttata "in the wild". Ma non solo: il team Android ha recepito la patch di ARM ma l'ha inserita in un aggiornamento solo ad aprile 2023. Tra la scoperta della vulnerabilità e la distribuzione della patch sono passati quindi nove mesi. E ben cinque tra le rilevazioni dei primi exploit e la distribuzione della patch. Di fatto, uno zero-day che si è mantenuto pericoloso per diversi mesi.

Un altro caso interessante segnalato dal TAG di Google tocca un altro tema: l'aggiornamento non del sistema operativo ma di singole applicazioni. Per diversi mesi una vulnerabilità nota e risolta del browser Chromium è rimasta sfruttabile sui alcuni terminali Samsung perché il browser standard della casa coreana si basava su una vecchia versione di Chromium e non veniva adattato a una nuova release.

Il problema del mancato patching che trasforma vulnerabilità "vecchie" in, di fatto, zero-day a lungo termine è aggravato dal fatto che gli zero-day non sono unici. L'attaccante che scopre una vulnerabilità e la sfrutta con un determinato attacco zero-day, poi magari patchato, non rappresenta l'unico pericolo. Altri attaccanti possono sviluppare varianti dello zero-day in questione e aumentare quindi la sua pericolosità.

Infatti, spiega Google, ben 17 dei 41 zero-day rilevati "in the wild" durante il 2022 erano varianti di zero-day già catalogati. Questo da un lato mostra che gli zero-day "nuovi" in circolazione sono pochi, il che è un bene. Ma dall'altro complica il patching, perché una patch davvero efficace deve risolvere la "sua" vulnerabilità alla radice, in modo che tutti gli exploit collegati vengano resi inoffensivi.

"Molte volte - spiega invece Maddie Stone, Security Researcher del Threat Analysis Group - vediamo i vendor bloccare solo il percorso [di attacco] mostrato in una proof-of-concept o in un campione di exploit, invece di risolvere la vulnerabilità nel suo complesso". Anche per questo motivo le attività Google di analisi e scoperta degli zero-day "in the wild" si faranno man mano più articolate, passando al TAG e non più al gruppo Project Zero.