Googles interne sikkerhetsteam advarer at såkalte nulldagssårbarheter (zero-day threats) er et større problem nå enn det tidligere har vært.
I sitt årlige sammendrag av nulldagssårbarheter merket Google Project Zero-teamet seg at 58 unike trusler ble identifisert i 2021, det største antallet siden prosjektet startet tellingen i 2014.
Antallet trusler økte fra 25 i 2020, og årets fangst er omlag doblet kontra den generelle trenden i perioden Google har ført statistikk.
Nulldagssårbarheter
Nedslående nok merket teamet seg at metodene som brukes av aktører som utnytter nulldagssårbarheter ikke har forandret seg stort kontra tidligere år. Det er de samme mønstrene i programvarefeil og de samme teknikkene som er populære.
«Da vi fikk et overblikk over de 58 nulldagssårbarhetene i 2021, så vi at dette er nulldagssårbarheter som ligner på tidligere og offentlig kjente sårbarheter», skrev Google. «Vi hadde forventet at angriperne måttet ha funnet nye typer programvarefeil eller sårbarheter, på andre angrepsflater, og brukt nye metoder, for å ha lykkes. Generelt sett var det ikke dette dataene viste oss i år.»
Google merker seg imidlertid at økningen i innrapporterte nulldagssårbarheter kan være positiv, siden det i praksis vil si at flere trusler rapporteres og offentliggjøres.
«Vi utfører og deler denne analysen slik at nulldagssårbarheter skal bli vanskeligere å utnytte», skrev Maddie Stone fra Project Zero-teamet i et blogginnlegg i forbindelse med annonseringen av funnene. «Vi ønsker at det skal bli mer kostbart, mer resurskrevende og generelt vanskeligere for angripere å ta i bruk nulldagssårbarheter.»
«2021 understreket nettopp hvor viktig det er å være nådeløse i vår streben etter å gjøre det vanskeligere for angripere å drive rovdrift på brukere med nulldagssårbarheter. Vi hører stadig om hvordan regjeringer gjør journalister, minoriteter, politikere, menneskerettsforkjempere og sikkerhetsforskere til mål.»
«Avgjørelsene vi tar i sikkerhets- og teknologibransjen kan ha en reell innvirkning på samfunnet og menneskers liv.»
Google mener likevel at næringslivet generelt har blitt bedre på «deteksjon og tilgjengeliggjøring» av nulldagssårbarheter, men advarer at fremgangen likevel er av begrenset art.
Selskapet ønsker å sette til verks en rekke tiltak for å bedre fremgangen, inkludert å etablere en industristandard for oppførsel, der leverandører av programvare offentliggjør bevis som tyder på at en sårbarhet i deres produkter blir utnyttet.
Google sier også at både leverandører av programvare og sikkerhetsforskere burde bli bedre på å dele sårbarhetseksempler og teknikker, og at en større innsats trengs innen redusering og eliminering av sårbarheter tilknyttet minnekorrupsjon.
