Domů
> Bezpečnost

V iPhonu neexistuje: Google pojmenoval největší bezpečnostní problém Androidu

Josef Mika 01.08.2023
info ikonka
Zdroj:

Google již několik let analyzuje bezpečnostní chyby na různých platformách. V nedávné zprávě jsou jmenována nejdůležitější zjištění. Z nich vyplývá, že největší bezpečnostní problém systému Android u iPhonů není.

Kapitoly článku

Společnost Google pravidelně sestavuje analýzu bezpečnostních problémů na různých platformách. V loňském roce bylo objeveno a uzavřeno celkem 41 zranitelností nultého dne, což je druhý nejvyšší počet od zahájení sledování v polovině roku 2014. Více zranitelností bylo objeveno pouze v roce 2021, a to 69.

Analýza se však nezabývá detaily exploitů, ale důležitými poznatky, které z nich lze vyvodit. Dlouho známý problém systému Android je aktuálnější než kdy jindy.

Android: problémem zůstává distribuce záplat

hackerandroid

Záplaty se do koncových zařízení se systémem Android dostávají příliš dlouho. Zdroj: Midjourney

Jako největší problém Google hned na začátku uvádí pomalou distribuci bezpečnostních záplat pro systém Android: hrozba je obzvláště velká u mezer nultého dne (Zero-day), které jsou známé, ale pro které zatím neexistují záplaty.

V systému Android má problém nultého dne tendenci trvat dlouho, protože ačkoli v podstatě existují záplaty, jejich distribuce mezi různými výrobci zařízení trvá příliš dlouho. Google pak hovoří o tzv. N-day problémech, protože zranitelnosti zůstávají neopravené delší dobu.

Ve zprávě se výslovně uvádí: „V celém ekosystému Androidu se vyskytlo několik případů, kdy záplaty nebyly uživatelům k dispozici po delší dobu.“

V případě iPhonu sice také existují bezpečnostní zranitelnosti, ale k žádnému zpoždění v záplatování nedochází. Když má Apple připravenou aktualizaci, může ji okamžitě dodat všem podporovaným iPhonům.

Aktualizace s devítiměsíčním zpožděním

zeroday

Počet zranitelností nultého dne objevených v posledních několika letech. Zdroj: Google

V jednom příkladu Google zmiňuje chybu v grafickém procesoru ARM (CVE-2022-38181). Zde trvalo celkem 9 měsíců, než byl v systému Android k dispozici nový ovladač. Vývoj záplaty byl však dokončen již po třech měsících. V procesu distribuce se tedy promarnil celý půlrok.

Další zjištění: více než 40 % objevených Zero days mezer byly varianty již dříve oznámených bezpečnostních chyb. Ze 41 "in-the-wild" hrozeb nultého dne z roku 2022 bylo 17 detekováno jako varianty již dříve nahlášených zranitelností.

Podle společnosti Google tak pokračuje nepříjemný trend, který se poprvé objevil v roce 2020. Útočníci opakovaně úspěšně využívají varianty předchozích zranitelností k novým útokům.

Google si stanovil čtyři cíle:

  • Uživatelé musí dostávat aktualizace rychleji.
  • Provádět podrobnou analýzu, aby se zajistilo odstranění hlavní příčiny zranitelnosti.
  • Sdílet co nejvíce technických detailů.
  • Využít nahlášené zranitelnosti k tomu, aby se z nich coby vývojář co nejvíce poučil a opravil je.

Zdroj: Google Security Blog

Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit

Všechny nejnovější zprávy

doporučujeme