近日谷歌发布了一份年度零日漏洞报告显示2022年的野外漏洞统计数据同时强调Android平台中存在的隐患在很长时间内都让已披露的漏洞价值得以提升。

更具体地说，谷歌的报告聚焦于安卓生态系统中“N天”的问题。该现象由系统复杂性所导致：涉及上游供应商（谷歌）和下游制造商（手机制造商）之间的多个环节。不同型号设备的安全更新周期存在显著差异，“N天”就成为“0天”，对威胁行为者而言，这意味着他们能够迅速且无阻碍地实施攻击。

“0日漏洞”(又称零日漏洞)是特指还未有补丁的安全漏洞，在官方并未进行修补之前（通常很短的一段时间）就已经被人发现和公开了的漏洞。如果该漏洞被发现并对外公布之后，未得到补丁支持的时间内（通常是短暂的），称之为“1日漏洞”。厂商在提供修复补丁的同时，若漏洞依然仍在被利用，则称这个漏洞为“N日漏洞”。

在声明中Google称虽然有开发商已进行了修补但仍存在漏洞隐患。尽管开发商已经对问题进行解决，但是下游设备生产商可能要花好几个月才能在其安卓系统中推广修复的版本。

因此，上游供应商与最终用户之间的补丁发布时间差异，导致了所谓N-days (已经公开的漏洞)可能被归类为0-day 漏洞，因为对于最终用户来说，没有其他任何办法来及时获得补丁更新以保护其设备的安全性。私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596

“N日”与“0天”同样危险。

2022年，诸如此类的问题对Android系统造成了极大影响，在所有知名漏洞中尤为突出的便是CVE-2022-38181，它是一个针对ARM Mali GPU的漏洞。该漏洞是在2022 年7 月被安全团队报告，并认定无法修复，之后ARM在同年10月进行了修补工作，并且将此修复更新纳入了Android系统中，在今年4月发布后的版本中。

2022 年 11 月，即 ARM 预发补丁两周后，该安全问题首次出现在野蛮的环境中。

到2023年4月，针对Android的安全更新依然在为解决这一漏洞而努力中，这个漏洞早在六个月内就由ARM团队解决了。

CVE-2022-3038：Chrome 105 中的沙箱逃逸漏洞在 2022 年 6 月修复后，基于早期版本的供应商浏览器（如三星的 “互联网浏览器”），仍然没有得到有效处理。

在 ARM Mali 图形核心内核驱动程序中发现了 CVE-2022-22706 这个漏洞。ARM 在 2022 年 1 月已经修复了这个漏洞。

这两个安全漏洞于2022年12月首次被发现并被证实可以被用于渗透三星安卓系统中的设备，该行为构私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596成了间谍软件攻击链条的一部分。

三星于2023年5月发布了针对CVE-2022-22706的安全更新，在2023年6月份安卓安全更新中采用ARM的修补程序，延迟时间达到17个月之久。

即便谷歌发布了安卓的安全更新，设备提供商需要约3个月的时间向其支持的产品发布修补程序，这意味着攻击者在获取到这些漏洞信息后，有足够的时间来利用它们来进行有针对性的攻击。

这种中断实际上将“N天”与“0天”的风险等同起来，并且可能会在未安装补丁的设备上利用“N天”。相比来说，“0天”的威胁会更大，因为其技术细节已经公诸于众，而且可能还有概念验证（PoC）漏洞，这使得攻击者更容易滥用它们。

好消息是，谷歌在 2022 年的安全活动总结显示，零日漏洞相比去年有所降低。发现的零日漏洞数量从41减少至31；浏览器类别的漏洞数量从26减少到15。

另一项值得关注的发现是在2022年发现的一系列零日漏洞中有近一半是由先前报告的漏洞所演化而成的，因为在之前发现了已知漏洞的修补程序后绕过这些漏洞将大大更容易。

参考链接：https://www.bleepingcomputer.com/news/security/google-android-patch-gap-makes-n-days-as-dangerous-as-zero-days/