• 發布單位:TWCERT/CC
• 更新日期:2023-08-04
• 點閱次數:117

Google 日前發表年度報告「The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022」，在報告中除了列出在 2022 年被駭侵者積極用於攻擊的多個 0-day 漏洞之外，Google 更指出由於各 Android 設備製造廠在韌體更新推出時程的延遲，加上 Android 生態系的複雜度，由 Google 修補完成的 0-day 漏洞，駭侵者往往仍可在數月後用於攻擊。

Google 指出的這個問題，可說是 Android 系統上長年未解的老問題，主要肇因於 Google 生態系的複雜性。在該生態系，最上游的 Google 到最下游的手機製造廠，中間還有許多角色，例如品牌商（如三星、小米等）、電信業者等。這樣複雜的結構，造成即使 Google 在第一時間發表了 0-day 漏洞的修補方案，也要等品牌商或製造商針對各款手機推出韌體更新，使用者才能修補裝置上的 0-day 漏洞。

Google 說，從 Google 修補漏洞到使用者有更新版韌體可以安裝，中間往往會有好幾個月的時間間隔；而這麼長的時間差，就讓駭侵者有機可乘，可利用事實上早就可以修補的 0-day 漏洞，在很長一段時間內仍可用來發動攻擊。

舉例來說，CVE-2022-38181 是個發生在 ARM Mali CPU 的 0-day 漏洞，該漏洞於 2022 年 7 月時提報給 Android 開發團隊，並於 2022 年 10 月由 ARM 發表漏洞修補程式，但直到 2023 年 4 月時才納入 Android 2023 年 4 月的更新之中，時隔長達半年。而駭侵者早在 2022 年 11 月起，就開始利用該漏洞發動攻擊。

鑑於 Android 生態系的複雜度與較大的資安風險，Android 使用者應加強本身的資安防護措施，或考慮改用其他較安全的系統。