En su cuarto informe anual "Year in Review of 0-days" (Revisión Anual de Día 0), Google ha destacado una preocupación importante en relación con Android: la brecha de parches. En el transcurso de 2022, se observaron una serie de casos en los que el proveedor upstream lanzaba un parche, pero el fabricante downstream no lo implementaba para que los usuarios pudieran aplicarlo.
Google ha señalado que si bien estas brechas existen en otras relaciones upstream/downstream, son más frecuentes y duraderas en el caso de Android. Esta falta de sincronización permite que las vulnerabilidades conocidas públicamente funcionen como vulnerabilidades desconocidas (0-days), sin que los usuarios tengan una solución disponible de forma inmediata. Google proporcionó dos ejemplos concretos que ilustran la problemática de la brecha de parches en Android durante el año pasado. En abril de 2022, se descubrió una vulnerabilidad en la GPU ARM Mali que no fue corregida por Android hasta abril de 2023. Esto significa que pasaron casi dos años desde que ARM lanzó el parche hasta que Android lo incluyó en el Boletín de Seguridad. Durante este tiempo, la vulnerabilidad fue aprovechada activamente por atacantes en el mundo real. El proceso de solución de esta vulnerabilidad se detalla a continuación: Julio de 2022: Reportado al equipo de seguridad de Android.
Agosto de 2022: El equipo de seguridad de Android clasifica el problema como "No se corregirá" y lo envía a ARM.
Octubre de 2022: ARM soluciona el error.
Noviembre de 2022: Se descubre la explotación de la vulnerabilidad en el mundo real.
Abril de 2023: La vulnerabilidad se incluye finalmente en el Boletín de Seguridad de Android.
Este ejemplo demuestra claramente la demora en la implementación de parches críticos, lo que expone a los usuarios a riesgos innecesarios.
Otro ejemplo destacado por Google es la vulnerabilidad en Samsung Internet, que se debió al uso de una versión desactualizada de Chromium. El navegador utilizaba la versión 102 de Chromium, que tenía siete meses de antigüedad en el momento del descubrimiento de la vulnerabilidad. Como parte de una cadena de explotación, los atacantes aprovecharon dos vulnerabilidades conocidas públicamente (n-days) que funcionaron como 0-days debido a la falta de actualización de la versión de Chromium utilizada por el navegador. Estas vulnerabilidades fueron parcheadas en versiones posteriores de Chrome, pero los usuarios de Samsung Internet siguieron siendo vulnerables debido a la falta de actualización.
Google enfatiza que la industria debe trabajar en conjunto para solucionar rápidamente los problemas de seguridad y proporcionar mitigaciones a los usuarios. Cuando se descubren vulnerabilidades conocidas públicamente, es crucial que los fabricantes implementen los parches lo antes posible para proteger a los usuarios de posibles ataques. Además, se ha observado que más del 40% de los 0-days descubiertos son variantes de vulnerabilidades previamente reportadas. Esto resalta la importancia de un análisis más profundo y soluciones más completas para evitar que los atacantes sigan aprovechando las mismas vulnerabilidades en diferentes áreas. La brecha de parches en Android es un problema que requiere una atención urgente. Los fabricantes de dispositivos deben garantizar una implementación rápida de los parches de seguridad para proteger a los usuarios de posibles ataques. Google destaca que es fundamental eliminar las demoras en la cadena de suministro de parches y proporcionar soluciones efectivas a los usuarios. Además, es necesario abordar de manera exhaustiva las variantes de vulnerabilidades conocidas públicamente para prevenir futuros ataques. La seguridad de los usuarios debe ser una prioridad en la industria de Android y es responsabilidad de todos los actores involucrados garantizar un ecosistema seguro y protegido.