Google on julkaissut vuotuisen raporttinsa niin sanottuihin nollapäivähaavoittuvuuksiin. Ne ovat haavoittuvuuksia, joita tiedetään jo käytetyn hyväksi ennen korjauksen julkaisua.
Vuoden 2022 nollapäiväraportissaan Google nostaa erityisenä huolena esiin Android-käyttöjärjestelmän ja laitevalmistajien hitauden tietoturvapäivitysten julkaisemisessa.
MAINOS (ARTIKKELI JATKUU ALLA)
Googlen mukaan vuonna 2022 ilmeni joukko tapauksia, jossa komponenttitoimittaja, esimerkiksi järjestelmäpiirivalmistaja tai muu ohjelmistotoimittaja, oli jo tuonut korjauksen saataville, mutta sitä ei oltu vielä julkaistu päivityksenä laitteiden käyttäjille.
Raportissaan Google toteaa, että tällainen tietoturvakorjausten julkaisuviive on Androidille yleisempi ja pidempi kuin muilla alustoilla.
Googlen mukaan päivitysviiveiden takia myös julkisesti tiedossa olevat haavoittuvuudet voivat vastata varsinaisia nollapäivähaavoittuvuuksia, koska niille ei ole julkaistu tarjolla olevaa päivitystä.
MAINOS (ARTIKKELI JATKUU ALLA)
Esimerkkeinä edellä mainituista tapauksista Google nostaa esimerkiksi Armin Mali-grafiikkasuorittimiin liittyvän haavoittuvuuden, jonka korjauksen jakelu alkoi vasta huhtikuussa 2023, joka oli kuusi kuukautta Armin julkaiseman korjauksen jälkeen ja yhdeksän kuukautta haavoittuvuuden löytmisestä – ja viisi kuukautta myöhemmin, kun haavoittuvuutta havaittiin ensi kerran hyväksikäytetyn hyökkäyksissä.
Toisena esimerkkinä Google nostaa esiin Samsung Internet -selaimen. Sen sisältämä haavoittuvuus johtui osittain seitsemän kuukautta vanhan Chromium-version 102:n käyttämisestä.
Googlen mukaan Android-laitevalmistajien tulisi julkaista jatkossa korjaukset ja haavoittuvuuksien rajoitukset käyttäjille nopeammin, jotta heillä on mahdollisuus suojautua erilaisilta uhkilta.
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »