Η Google κατέγραψε τις περισσότερες από ποτέ zero-day exploits το 2021

Η διαδικτυακή ασφάλεια και η εμπειρία χρήστη πάνε χέρι-χέρι. Αυτός είναι ο λόγος για τον οποίο οι προγραμματιστές εργάζονται συνεχώς στα παρασκήνια για να κρατήσουν τους χρήστες ασφαλείς, αλλά αναπόφευκτα, ορισμένα ελαττώματα ασφαλείας περνούν απαρατήρητα. Ίσως η πιο τρομακτική κατηγορία είναι τα zero-day exploits , για τα οποία δεν υπάρχει ενημέρωση κώδικα για να διορθωθούν αυτές οι τρύπες όταν γείνονται για πρώτη φορά οι επιθέσεις. Αυτήν την εβδομάδα η Google ανατρέχει σε αυτά τα τρωτά σημεία.58 από αυτά εντοπίστηκαν και αποκαλύφθηκαν το 2021, την πιο πολυσύχναστη χρονιά τους.

Αυτές οι 58 περιπτώσεις το 2021 αντιπροσωπεύουν υπερδιπλάσιες από τις 25 που εντοπίστηκαν το 2020. Αυτό σημαίνει ότι ή το λογισμικό γίνεται πιο ανασφαλές ή ότι οι hackers έχουν διπλασιάσει τις προσπάθειές τους. Αντίθετα, η Google προτείνει ότι η τάση είναι το αποτέλεσμα του βελτιωμένου εντοπισμού προβλημάτων μηδενικής ημέρας από εταιρείες όπως η Microsoft, η Apple και η ίδια η Google.

Η ανάρτηση αναλύει τα exploits του 2021 zero-day με μεγάλη λεπτομέρεια, αλλά αυτό που ξεχωρίζει περισσότερο είναι το πόσο πίσω βρίσκονται πολλοί προμηθευτές όσον αφορά τη λήψη μέτρων για να κάνουν κάτι σχετικά με γνωστά τρωτά σημεία. Το Project Zero της Google (μια ομάδα ελίτ κυνηγών σφαλμάτων) στοχεύει να καταστήσει πιο δαπανηρή, εντατική σε πόρους και γενικά πιο δύσκολη για τους επιτιθέμενους τη χρήση zero-days, αλλά αυτό είναι πολύ σε εξέλιξη. Από τις μηδενικές ημέρες που εντοπίστηκαν, μόνο δύο (στόχευση συσκευών iOS και Mac) ήταν πραγματικά νέες -νέες. Τα υπόλοιπα ήταν παραλλαγές γνωστών σφαλμάτων, με τα περισσότερα (67%) να είναι κάποια παραλλαγή τρωτών σημείων καταστροφής της μνήμης. Το συμπέρασμα είναι ότι οι hackers δεν χρειάζεται να προσπαθήσουν τόσο σκληρά όσο θα ελπίζαμε ότι θα μπορούσαν να βρουν νέες επιθέσεις.

Η Google προειδοποιεί ότι το ρεκόρ των επιθέσεων zero-day δεν είναι τόσο περιεκτικό όσο θα μπορούσε να είναι. Για παράδειγμα, πλατφόρμες ανταλλαγής μηνυμάτων όπως το WhatsApp, το Signal και το Telegram δεν ανέφεραν καμία ευπάθεια μηδενικής ημέρας το 2021, κάτι που προκαλεί έκπληξη δεδομένου ότι και οι τρεις εφαρμογές αποτελούν σημαντικούς στόχους hacking. Στην πραγματικότητα, από τότε που η Google ξεκίνησε την παρακολούθηση το 2014, έχουν αναφερθεί μόνο δύο zero-day για εφαρμογές ανταλλαγής μηνυμάτων: το WhatsApp το 2019 και το iMessage το 2021. Η εταιρεία υποπτεύεται ότι η έλλειψη εντοπισμού ή αποκάλυψης μπορεί να είναι ο λόγος που αυτοί οι αριθμοί είναι τόσο χαμηλοί – όχι ότι τα τρωτά σημεία δεν υπάρχουν απαραίτητα.

Η Google ελπίζει ότι η βιομηχανία τεχνολογίας θα μοιραστεί περισσότερα δείγματα εκμετάλλευσης με λεπτομερείς τεχνικές περιγραφές όταν αποκαλύπτει τρωτά σημεία zero-day. Επιπλέον, παρακαλεί τους προμηθευτές να κάνουν περισσότερα για να καταστήσουν ανεκμετάλλευτα τα σφάλματα καταστροφής της μνήμης. Στο μεταξύ, μπορείτε να κάνετε ό,τι καλύτερο μπορείτε για να προστατεύσετε τις συσκευές σας από κακόβουλο λογισμικό, διασφαλίζοντας ότι το λογισμικό σας είναι ενημερωμένο.