近日，谷歌發布了年度零日漏洞報告，展示了 2022 年的野外漏洞統計數據，并強調了 Android 平臺中長期存在的問題，該問題在很長一段時間內提高了已披露漏洞的價值和使用。

更具體地說，谷歌的報告強調了安卓系統中的 "N-days "問題，該問題源于安卓生態系統的復雜性，涉及上游供應商（谷歌）和下游制造商（手機制造商）之間的多個環節。致使不同設備型號之間的安全更新時間存在重大差異，即對于威脅行為者來說，"N-days "就是 "0-days"。

“0-day漏洞”（又稱零日漏洞），通常就是指還沒有補丁的安全漏洞，也就是已經被少數人發現的，但還沒被傳播開來，官方還未修復的漏洞。 當“0-day漏洞”被發現并公開后，沒有補丁的一段時間內（通常時間會很短），根據習慣這個漏洞會被稱為1-day漏洞。當廠商提供了修復補丁，但是漏洞仍然還在被利用時，我們一般會稱呼這個漏洞為N-day漏洞。

谷歌在報告中表示，盡管谷歌或其他廠商已經提供了補丁，但攻擊者仍可以利用該漏洞。因為即使谷歌或其他廠商修復了漏洞，但下游的設備制造商仍需要幾個月的時間才能在自己的安卓版本中推出。

因此，上游廠商和下游廠商之間補丁的間隔使得N-days（公開已知的漏洞）可以像0-days一樣，因為用戶無法隨時獲得補丁，他們唯一的辦法就是停止使用設備。

N-days 與 0-days 同樣危險

2022 年，諸如此類的問題對安卓系統造成了很大的影響，其中最著名的是 CVE-2022-38181，這是 ARM Mali GPU 中的一個漏洞。該漏洞于 2022 年 7 月報告給安卓安全團隊，被認定為 "無法修復"，2022 年 10 月被 ARM 修補，最后被納入安卓 2023 年 4 月的安全更新中。

2022 年 11 月，即 ARM 發布修補程序一個月后，該漏洞在野外被發現。

直到 2023 年 4 月，Android 安全更新推送修復程序時，對該漏洞的利用仍有增無減，這距離 ARM 解決該安全問題足足過去了 6 個月。

CVE-2022-3038：Chrome 105 中的沙箱逃逸漏洞，該漏洞已于 2022 年 6 月得到修補，但基于早期 Chrome 版本的供應商瀏覽器（如三星的 "互聯網瀏覽器"）仍未得到解決。

CVE-2022-22706：ARM Mali GPU 內核驅動程序中的漏洞，供應商已于 2022 年 1 月修補了該漏洞。

這兩個漏洞于 2022 年 12 月被發現利用，是三星安卓設備感染間諜軟件的攻擊鏈的一部分。

三星于 2023 年 5 月發布了針對 CVE-2022-22706 的安全更新，而安卓安全更新則在 2023 年 6 月的安全更新中采用了 ARM 的修復程序，延遲時間長達 17 個月之久。

即使谷歌發布了安卓安全更新，設備供應商也需要長達三個月的時間才能為支持的機型提供修補程序，這就給攻擊者提供了針對特定設備攻擊的機會。

這種補丁間隙實際上使 "N-day "與 "0-day "具有同等威脅，威脅者可以在未打補丁的設備上利用 "N-day"。相比于0日漏洞N-day可能威脅會更大，因為其技術細節已經公布，可能還有概念驗證（PoC）漏洞，使威脅者更容易濫用它們。

好消息是，谷歌 2022 年的活動總結顯示，零日漏洞與 2021 年相比有所下降，發現了 41 個，而瀏覽器類別的下降幅度最大，發現了 15 個漏洞（2021 年為 26 個）。

另一個值得注意的發現是，在 2022 年發現的零日漏洞中，有 40% 以上是以前報告過的漏洞的變種，因為繞過已知漏洞的修復程序通常，比找到一個新型零日漏洞要容易得多。

參考鏈接：https://www.bleepingcomputer.com/news/security/google-android-patch-gap-makes-n-days-as-dangerous-as-zero-days/