近日，谷歌发布了年度零日漏洞报告，展示了 2022 年的野外漏洞统计数据，并强调了 Android 平台中长期存在的问题，该问题在很长一段时间内提高了已披露漏洞的价值和使用。

更具体地说，谷歌的报告强调了安卓系统中的 "N-days "问题，该问题源于安卓生态系统的复杂性，涉及上游供应商（谷歌）和下游制造商（手机制造商）之间的多个环节。致使不同设备型号之间的安全更新时间存在重大差异，即对于威胁行为者来说，"N-days "就是 "0-days"。

“0-day漏洞”（又称零日漏洞），通常就是指还没有补丁的安全漏洞，也就是已经被少数人发现的，但还没被传播开来，官方还未修复的漏洞。 当“0-day漏洞”被发现并公开后，没有补丁的一段时间内（通常时间会很短），根据习惯这个漏洞会被称为1-day漏洞。当厂商提供了修复补丁，但是漏洞仍然还在被利用时，我们一般会称呼这个漏洞为N-day漏洞。

谷歌在报告中表示，尽管谷歌或其他厂商已经提供了补丁，但攻击者仍可以利用该漏洞。因为即使谷歌或其他厂商修复了漏洞，但下游的设备制造商仍需要几个月的时间才能在自己的安卓版本中推出。

因此，上游厂商和下游厂商之间补丁的间隔使得N-days（公开已知的漏洞）可以像0-days一样，因为用户无法随时获得补丁，他们唯一的办法就是停止使用设备。

N-days 与 0-days 同样危险

2022 年，诸如此类的问题对安卓系统造成了很大的影响，其中最著名的是 CVE-2022-38181，这是 ARM Mali GPU 中的一个漏洞。该漏洞于 2022 年 7 月报告给安卓安全团队，被认定为 "无法修复"，2022 年 10 月被 ARM 修补，最后被纳入安卓 2023 年 4 月的安全更新中。

2022 年 11 月，即 ARM 发布修补程序一个月后，该漏洞在野外被发现。

直到 2023 年 4 月，Android 安全更新推送修复程序时，对该漏洞的利用仍有增无减，这距离 ARM 解决该安全问题足足过去了 6 个月。

CVE-2022-3038：Chrome 105 中的沙箱逃逸漏洞，该漏洞已于 2022 年 6 月得到修补，但基于早期 Chrome 版本的供应商浏览器（如三星的 "互联网浏览器"）仍未得到解决。

CVE-2022-22706：ARM Mali GPU 内核驱动程序中的漏洞，供应商已于 2022 年 1 月修补了该漏洞。

这两个漏洞于 2022 年 12 月被发现利用，是三星安卓设备感染间谍软件的攻击链的一部分。

三星于 2023 年 5 月发布了针对 CVE-2022-22706 的安全更新，而安卓安全更新则在 2023 年 6 月的安全更新中采用了 ARM 的修复程序，延迟时间长达 17 个月之久。

即使谷歌发布了安卓安全更新，设备供应商也需要长达三个月的时间才能为支持的机型提供修补程序，这就给攻击者提供了针对特定设备攻击的机会。

这种补丁间隙实际上使 "N-day "与 "0-day "具有同等威胁，威胁者可以在未打补丁的设备上利用 "N-day"。相比于0日漏洞N-day可能威胁会更大，因为其技术细节已经公布，可能还有概念验证（PoC）漏洞，使威胁者更容易滥用它们。

好消息是，谷歌 2022 年的活动总结显示，零日漏洞与 2021 年相比有所下降，发现了 41 个，而浏览器类别的下降幅度最大，发现了 15 个漏洞（2021 年为 26 个）。

另一个值得注意的发现是，在 2022 年发现的零日漏洞中，有 40% 以上是以前报告过的漏洞的变种，因为绕过已知漏洞的修复程序通常，比找到一个新型零日漏洞要容易得多。