Googles interne sikkerhedsteam advarer om, at zero-day-sikkerhedstrusler bliver et større og større problem.
I sin årlige opsummering af Zero-day-trusselslandskabet bemærkede Google Project Zero-teamet, at der var 58 forskellige trusler, som var blevet identificeret i 2021. Det er det største antal, man har set siden 2014, hvor efterforskningen begyndte.
Det er et langt højere antal end de 25 tilfælde, der blev identificeret i 2020, og næsten dobbelt så mange som det, man har set i de fleste år, der er omfattet af undersøgelsen.
Zero-day-trusler
Teamet bemærkede, at metoden, der blev brugt af zero-day-angriberne, ikke lader til at have ændret sig eller udviklet sig meget fra tidligere år. Det viser sig at være de samme fejlmønstre og udnyttelsesteknikker der er populære.
"Når vi kigger på de 58 Zero-days-tilfælde fra 2021, ser vi at de ligner tidligere og offentligt kendte sårbarheder," skrev Google. "Vi forventede, at angribere var nødt til at finde nye fejlklasser af sårbarheder i nye angrebsoverflader ved at bruge hidtil ukendte udnyttelsesmetoder. Generelt set var det ikke, hvad dataene viste os i år."
Google udmelder dog også, at stigningen i rapporterede Zero-days-angreb faktisk kan være en god ting, da det betyder, at der er flere trusler, som bliver rapporteret og offentliggjort.
"Vi udfører og deler denne analyse for at gøre Zero-days sværere", skrev Maddie Stone fra Project Zero-teamet i et blogindlæg, der bekendtgjorde resultaterne. "Vores mål er, at gøre det dyrere, mere ressourcekrævende og generelt sværere for angribere at bruge Zero-days-muligheder."
"2021 understregede, hvor vigtigt det er at være benhårde i vores stræben efter at gøre det sværere for angribere at udnytte brugere med Zero-days. Vi hørte gang på gang om, hvordan angrebene var målrettede journalister, minoritetsbefolkninger, politikere, menneskerettighedsforkæmpere og endda sikkerhedsforskere over hele verden."
"De beslutninger, vi træffer i sikkerheds- og teknologifællesskaberne, kan have store konsekvenser for samfundet og vores medmennesker."
Overordnet set siger Google, at det ser ud til at der er sket forbedringer inden for industrien, når det kommer til "detektion og afsløring" af Zero-days-udnyttelser, men virksomheden advarer om, at der stadig er tale om "små skridt".
Der er behov for en række skridt for at øge fremskridtet, siger Google. Det gælder bl.a. etablering af en standardfremgangsmåde, så alle producenter kan bekendtgøre beviser, der tyder på, at en sårbarhed i deres produkt bliver udnyttet.
Google siger også, at både producenter og sikkerhedsforskere bør være bedre til at dele oplysninger om udnyttelsestilfælde eller -teknikker, og der er også behov for en større indsats for at reducere sårbarheder i forbindelse med hukommelsesbeskadigelser eller forhindre potentiel udnyttelse.
