Google har släppt sin fjärde årliga rapport om så kallade ”zero-day exploits”, det vill säga systemsårbarheter som varit okända för företaget som ansvarar för säkerheten och därmed kan utnyttjas för attacker.
Rapporten handlar inte specifikt om Android men Google påpekar att det ibland blir ett stort glapp mellan sårbarheters åtgärdande och att åtgärderna faktiskt implementeras av tillverkarna, vilket skapar onödiga risker för användare.
När åtgärderna inte implementeras i tid kan kända sårbarheter i praktiken fortsätta vara ”zero-day” för angripare. Google skriver att dessa glapp mellan åtgärd och implementering är särskilt vanliga för Android.
Sökjätten tar upp två specifika exempel. En sårbarhet i grafikdelen Mali från Arm åtgärdades inte förrän efter ett halvår. Inlägget nämner även att webbläsaren Samsung Internet länge var sårbar för att Samsung hade baserat koden på en sju månader gammal version av Chromium.
These gaps between upstream vendors and downstream manufacturers allow n-days – vulnerabilities that are publicly known – to function as 0-days because no patch is readily available to the user and their only defense is to stop using the device.
While these gaps exist in most upstream/downstream relationships, they are more prevalent and longer in Android.