Googlen sisäinen turvallisuustiimi on varoittanut nollapäivähaavoittuvuuksiin kohdistuvista uhista nousseen entistä suurempi riski.
Yhtiön vuosittaisessa kartoituksessa Google Project Zero -tiimin jäsenet tunnistivat 58 erilaista nollapäivähaavoittuvuutta vuonna 2021. Tämä oli suurin lukema tähän mennessä tiimin vuonna 2014 käynnistyneen tutkinnan aikana.
Vuonna 2020 haavoittuvuuksia löydettiin 25 kappaletta, ja muina vuosina määrä on ollut noin tuplasti pienempi kuin vuonna 2021.
Nollapäivähaavoittuvuus
Huolestuttavampana uutisena tiimin mukaan nollapäivähaavoittuvuuksiin kohdistuneet hyökkäykset eivät ole juurikaan muuttuneet vuosien aikana, vaan haittatekijät käyttävät samoja bugikuvioita ja hyväksikäyttötekniikoita kuin aina ennenkin.
"Kun tarkastelimme vuonna 2021 tehtyä 58 nollapäivähaavoittuvuushyökkäystä, huomasimme niiden olevan samanlaisia kuin aiemmat ja julkisesti tiedossa olleet haavoittuvuudet", Google kirjoittaa. "Uskoimme, että tämä olisi mahdollista ainoastaan, jos hyökkääjät käyttäisivät uudenlaisia ja ennen näkemättömiä haavoittuvuuksia hyväksi uusissa hyökkäyksissä. Näin ei kuitenkaan ollut tänä vuonna saadun datan perusteella."
Google tosin huomauttaa, että nollapäivähaavoittuvuuksien määrän nousu voi olla myös hyvä asia, sillä tällöin uusia uhkia raportoidaan ja eliminoidaan aiempaa enemmän.
"Suoritamme ja jaamme tämän analyysin tehdäksemme nollapäivähyökkäyksistä vaikeaa", Project Zero -tiimin Maddie Stone kirjoitti blogimerkinnässä. "Haluamme nollapäivähyökkäysten olevan kalliita, resursseja syöviä ja ylipäätään vaikeampia hyökkääjille suorittaa."
"Vuosi 2021 osoitti, kuinka tärkeää on määrätietoisesti tehdä nollapäivähyökkäyksistä näiden tekijöilleen vaikeampaa. Kuulimme yhä uudestaan ja uudestaan, kuinka hallitukset ottivat kohteikseen toimittajia, vähemmistön edustajia, poliitikkoja, ihmisoikeuksien puolustajia ja jopa turvallisuusasiantuntijoita ympäri maailmaa."
"Turvallisuus- ja teknologiayhteisöjen keskuudessa tehtävillä päätöksillä on todellisia vaikutuksia yhteiskuntaan ja kanssaihmisten elämiin."
Google sanoo alan yleisesti ottaen parantaneen tapojaan "havaita ja sulkea" nollapäivähaavoittuvuuksia, mutta varoittaa tehtyjen toimenpiteiden olevan kuitenkin vasta "ensiaskelia".
Yhtiö pyytääkin toimijoilta ylimääräisiä vaiheita parantaakseen kehitystä, kuten luomalla alan kattavia standardeja muun muassa omien tuotteiden haavoittuvuuksien löytämisten julkistamisesta.
Google sanoo lisäksi toivovansa, että niin myyjät kuin turvallisuusasiantuntijat jakaisivat haavoittuvuusnäytteitä ja -teknologioita enemmän. Lisäksi tarvitaan enemmän panostusta vähentämään korruptoituneen muistin aiheuttamiin haavoittuvuuksiin tai niiden muuttamista siten, ettei niitä voisi hyödyntää haavoittuvuuksina.
- Olemme valinneet parhaat virustorjuntaohjelmat
