Google ha publicado su cuarto informe anual Year in Review sobre vulnerabilidades de seguridad, conocidas como «0-days», que son desconocidas y explotadas en la naturaleza.
El informe destacó que el vacío en las actualizaciones de Android fue un área de preocupación en 2022.
El informe señaló que hubo varios casos en los que el proveedor upstream había lanzado un parche para un problema de seguridad, pero el fabricante downstream no lo aplicó y, por lo tanto, no corrigió el problema para los usuarios.
Aunque estos vacíos en las actualizaciones existen en la mayoría de las relaciones upstream/downstream en otras plataformas, Google afirma que son más prevalentes y duraderos en Android.
Estos vacíos permiten que las vulnerabilidades conocidas públicamente, llamadas «n-days», actúen como «0-days», ya que no hay un parche disponible para el usuario.
Google citó dos ejemplos de vulnerabilidades del año pasado, incluida una vulnerabilidad de la GPU ARM Mali que no fue corregida por Android hasta abril de 2023.
La empresa de búsqueda afirma que la industria debe corregir y mitigar rápidamente las vulnerabilidades para que los usuarios puedan protegerse.
Además, el informe destaca que más del 40% de los «0-days» descubiertos eran variaciones de vulnerabilidades reportadas anteriormente, lo que requiere un análisis más profundo y una corrección más completa.