備註請放最後面 違者新聞文章刪除
1.媒體來源:
iThome
2.記者署名:
文/陳曉莉 | 2023-07-31發表
3.完整新聞標題:
去年發現41個遭到攻擊的零時差漏洞，Android上的n-days漏洞跟0-days漏洞一樣危險
4.完整新聞內文:
Google威脅分析小組（Threat Analysis Group，TAG）本周公布了2022年的零時差攻擊漏
洞報告，指出去年總計發現了41個遭到駭客攻擊的零時差漏洞，其中有超過40%與過去曾
公開揭露的漏洞有關，也有愈來愈多的駭客鎖定同樣的零時差漏洞，另外值得注意的是，
由於Android平臺上的漏洞修補時程太長，導致該平臺的n-days漏洞跟零時差（0-days）
漏洞一樣危險。
去年所發現的零時差漏洞有8個出現在Windows平臺上，4個為iOS平臺，3個為Android平臺
，2個為macOS平臺，也有2個是在Exchange Server上。
這41個零時差漏洞是由18個不同的組織所發現，2021年的58個零時差漏洞則是由20個組織
所發現，Google認為這是個好現象，代表資安社群共同努力辨識並找出遭到駭客攻擊的零
時差漏洞，且歡迎更多的研究人員加入。
此外，當中有17個零時差漏洞似曾相識，因為它們是從過去公開揭露的漏洞所衍生的，其
比例從2020年的25%，增加到去年的41%。TAG認為此一趨勢的原因有很多，也許是駭客正
在利用更多的變種，或者是資安社群偵測或辨識變種的能力變好了，比較令人擔心的是這
些漏洞沒有被完整的修補因而出現更多的變種。
而縱使駭客並不會分享所發現的零時差漏洞，但這些漏洞並非獨家的，研究顯示不同的駭
客也會攻擊同樣的零時差漏洞，如同不同單位的研究人員也會找到同樣的零時差漏洞。
此次的報告最引人注目的莫過於TAG對Android平臺上n-days漏洞的警告。TAG指出，由於
修補的時程太長，鎖定Android平臺的駭客根本不需利用零時差漏洞，只要鎖定那些早就
被揭露的n-days就可以達到同樣的效果了。
Android平臺上的安全空窗期源自於它必須經歷元件或韌體供應商的修補、Google的修補
到製造商的修補，最後才能到達使用者的Android裝置上，有些例子很令人咋舌，例如在
2022年7月由安全研究人員Man Yue Mo於ARM Mali GPU所發現的CVE-2022-38181漏洞。
這名研究人員在2022年7月向Android安全團隊通報漏洞，由於該漏洞僅會發生在特定的裝
置上，於是Android安全團隊8月向ARM表明不必修補，但ARM還是在10月修補了漏洞，11月
就出現了攻擊程式，但一直到今年4月，它才出現在Android的安全公告中，整個歷程長達
9個月，從修補到現身於公告也花了6個月。
看起來TAG對於同門的Android安全團隊並不留情，另一個例子是三星的Samsung
Internet browser在2022年12月遭到零時差攻擊，駭客利用了分別位於Chromium的
2022-3038與ARM Mali GPU的CVE-2022-22706兩個零時差漏洞，但其實ARM早就在2022年的
1月修補了該漏洞，而且修補當時漏洞就已遭到攻擊，然而它卻一直到2023年的6月才被納
入Android安全公告中。
5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體:
https://www.ithome.com.tw/news/158044
6.備註:
快更新！