กูเกิลสำรวจการโจมตีด้วยช่องโหว่ 0-day พบการแอนดรอยด์ยังแก้ไขช้า บางช่องโหว่ใช้เวลาครึ่งปี – SMS Marketing ราคาถูกที่สุด
Threat Analysis Group (TAG) กลุ่มวิจัยความปลอดภัยไซเบอร์ของกูเกิล รายงานถึงการโจมตีระบบคอมพิวเตอร์ด้วยช่องโหว่ที่ยังไม่ได้แพตช์ หรือช่องโหว่ 0-day ในช่วงปีที่ผ่านมา พบการโจมตีจากช่องโหว่ 41 รายการตลอดปี 2022 ลดลง 40% จากปี 2021 แต่สภาพการณ์โดยรวมยังไม่ดีนัก เนื่องจากช่องโหว่บางตัวใช้เวลาแพตช์นาน รายงานระบุเหตุการณ์โดยรวมไว้ 4 ประเด็น ได้แก่
แอนดรอยด์ยังใช้เวลาแพตช์นาน กระบวนการพัฒนาแพตช์มีหลายชั้น คนรับผิดชอบมีหลายหน่วยงาน ทำให้โดยรวมแพตช์ความปลอดภัยอออกได้ช้า และแม้มีแพตช์มาแล้วก็ยังใช้โจมตีได้กว้าง
การโจมตีผ่านเบราว์เซอร์ลดลงเพราะมีการป้องกันที่ดีขึ้น แฮกเกอร์มุ่งเน้นไปยังช่องทางอื่นที่ไม่ต้องหลอกให้ผู้ใช้คลิกอะไรเลย (0-click exploit) มากขึ้น
แฮกเกอร์ใช้ช่องโหว่ซ้ำกันไปมา ในการโจมตี 41 รายการเป็นการปรับจากเทคนิคที่เคยใช้เดิม 17 รายการ
การรายงานช่องโหว่ก็มีการรายงานซ้ำกันเรื่อยๆ บางครั้งซ้ำกันเองระหว่างนักวิจัยด้วยกัน หรือบางครั้งเมื่อรายงานช่องโหว่ไปก็พบว่ามีกลุ่มแฮกเกอร์ใช้งานแบบ 0-day อยู่แล้ว
ทาง TAG เตือนว่าตัวเลขปริมาณช่องโหว่ที่แฮกเกอร์ใช้อาจจะไม่สะท้อนภาพความปลอดภัยโดยรวมนัก เช่นเมื่อซอฟต์แวร์แก้ไขช่องโหว่ได้เร็วขึ้นก็บีบให้กลุ่มแฮกเกอร์ต้องหาทางแฮกระบบแบบใหม่ๆ ทำให้ตัวเลขดูสูง หรือตรงกันข้ามหากแฮกเกอร์ใช้ช่องโหว่แฮกระบบได้โดยไม่มีใครตรวจพบเป็นเวลานานก็จะทำให้จำนวนการแฮกด้วย 0-day ลดลง
ปัญหาของแอนดรอยด์นั้นดูหนักเป็นพิเศษเพราะเกี่ยวข้องกับผู้พัฒนาหลายองค์กร เช่น ช่องโหว่ CVE-2022-38181 ในไดร์เวอร์ของ Arm Mali ที่มีนักวิจัยรายงานเข้าไปยังแอนดรอยด์ตั้งแต่กลางปี 2022 แต่ทีมงานแอนดรอยด์ส่งเรื่องให้ Arm ไปแก้ไข และกว่าจะได้แพตช์ก็เดือนตุลาคม 2022 กว่าแอนดรอยด์จะรับเข้ามาเป็นแพตช์ของแอนดรอยด์ก็เดือนเมษายน 2023 แม้ว่าจะมีรายงานว่าแฮกเกอร์ใช้ช่องโหว่นี้ตั้งแต่เดือนพฤศจิกายน 2022 แล้ว อีกช่องโหว่หนึ่งคือช่องโหว่ใน Chromium ที่เบราว์เซอร์ Chrome แพตช์ไปตั้งแต่กลางปี 2022 แต่ Samsung Internet Browser กลับไม่ได้แพตช์ ส่งผลให้ช่องโหว่ใช้งานได้นานถึง 17 เดือนหลังช่องโหว่มีแพตช์ครั้งแรก
TAG ระบุว่าอุตสาหกรรมโดยรวมต้องหาทางส่งแพตช์หรือการแก้ไขเบื้องต้นไปยังผู้ใช้ให้เร็วขึ้น พร้อมกันต้องแชร์ข้อมูลกันให้มากขึ้นเพื่อแก้ไขปัญหา แต่ก็ยอมรับว่าไม่ใช่เรื่องง่าย เพราะต้องการทรัพยากร และการจัดลำดับความสำคัญ ตลอดจนการทำงานร่วมกันระหว่างองค์กรต่างๆ
ที่มา – Google Security Blog
จำนวนการโจมตี 0-day แยกรายปีจาก TAG
