La fragmentation des appareils Android est un problème auquel Google et les utilisateurs sont confrontés depuis des temps immémoriaux, mais maintenant BigG a écrit noir sur blanc qu'en ce qui concerne les correctifs de sécurité , la situation doit changer. La maison de Mountain View a en effet publié son rapport annuel "Year in Review of 0-days of 2022", qui rend compte des vulnérabilités de l'année dans son ensemble, en recherchant les tendances, les lacunes, les leçons apprises et les succès. Et en parlant de leçons, Google affirme que le moment de la publication des correctifs a été un sujet de préoccupation particulier, avec de nombreux exemples où " le fournisseur en amont a publié un correctif pour le problème , mais le fournisseur en aval n'a pas pris le correctif et a publié le correctif pour utilisateurs ". Google appelle ce temps patch gap , et dit que bien qu'il existe dans la plupart des systèmes, sous Android il est " plus répandu et plus large ". Google est encore plus dur et déclare que " Cet écart entre les fournisseurs en amont et les fournisseurs en aval permet aux vulnérabilités n-jours , c'est-à-dire connues, de fonctionner comme des vulnérabilités 0-jours (inconnues) car aucun correctif n'est disponible pour l'utilisateur et votre seule défense est d'arrêter à l'aide de l'appareil ."

Google cite deux exemples assez flagrants. Le premier concerne une vulnérabilité GPU ARM Mali , découverte en juillet 2022 et corrigée par ARM en octobre 2022, mais qui n'est apparue dans le bulletin de sécurité d'Android qu'en avril 2023, soit 5 mois pleins après qu'elle avait déjà commencé à être exploitée. L'autre exemple concerne le navigateur Internet de Samsung , qui était vulnérable en partie parce qu'il était basé sur une version de Chromium datant de sept mois (102). Dans ce cas, les attaquants auraient pu utiliser deux vulnérabilités n-day capables de fonctionner comme 0-day : " CVE-2022-3038, qui a été patché dans Chrome 105 en juin 2022 et CVE-2022-22706 dans le pilote du noyau ARM Mali GPU ". Google poursuit en expliquant comment ARM avait " publié le correctif pour CVE-2022-22706 en janvier 2022 et même s'il était marqué comme exploité à l'état sauvage, les attaquants pouvaient toujours l'utiliser 11 mois plus tard en tant que 0-day. Bien que cela était connue pour être exploitée à l'état sauvage en janvier 2022, elle n'a été incluse dans le bulletin de sécurité Android qu'en juin 2023, 17 mois après la publication du correctif, et était publiquement connue pour être activement exploitée" . Mais pas seulement. Un autre sujet de préoccupation est que " plus de 40% des vulnérabilités 0-day étaient des variantes de vulnérabilités précédemment signalées ", ce qui signifie que les efforts doivent être redoublés pour empêcher les mauvais acteurs d'utiliser les mêmes vulnérabilités mais dans des domaines différents. Google conclut en précisant que les fabricants "doivent rapidement diffuser des correctifs aux utilisateurs afin qu'ils puissent être protégés", déclarant être le premier à accepter les critiques et les suggestions d'amélioration.