Google обнаружил самые масштабные эксплойты нулевого дня в 2021 году

Google опубликовал полный список эксплойтов нулевого дня, обнаруженных в 2021 году. Команда Project Zero раскрыла в общей сложности 58 эксплойтов нулевого дня в течение года, что делает этот год одним из самых загруженных для этих опасных эксплойтов.

Нулевые дни — это новые уязвимости, то есть для них еще нет готовых исправлений или исправлений. Этот аспект делает раннее выявление крайне важным. Обнаружение 58 эксплойтов нулевого дня в 2021 году означает более чем двукратное увеличение по сравнению с 25 эксплойтами, обнаруженными в 2020 году.

Google считает, что большее количество нулевых дней, обнаруженных в 2021 году, вероятно, связано с более агрессивным процессом обнаружения, которому помогают такие компании, как Apple, Microsoft и, конечно же, Google. В 2019 году команда Google Project Zero уведомила Apple об уязвимости в системе безопасности iPhone, затрагивающей пользователей с iOS 10 до iOS 12.

Компания пояснила, что до 67% нулевых дней, обнаруженных в 2021 году, были вариациями существующих уязвимостей, приводящих к повреждению памяти. Между тем, только два нулевых дня были новыми, нацеленными на пользователей macOS и iOS.

По данным Google, приложения для обмена сообщениями не сообщали об эксплойтах нулевого дня в 2021 году.

«С середины 2014 года существует только по одному нулевому дню для macOS и Linux. Нет никаких известных в дикой природе нулевых дней, нацеленных на облако, уязвимости процессора или другие компоненты телефона, такие как чип WiFi или основная полоса частот», — говорится в отчете Google (через Android Police).

Приложения для обмена сообщениями, такие как Signal, Telegram и WhatsApp, в прошлом году не сообщали об эксплойтах нулевого дня на своих платформах. Google предполагает, что это связано с отсутствием прозрачности или неадекватными ресурсами обнаружения. Компания предупреждает, что уязвимости, вероятно, уже существуют. С тех пор, как Google начал отслеживать нулевые дни в 2014 году, только два приложения для обмена сообщениями сообщили об нулевых днях — WhatsApp (2019) и iMessage (2021).

Инициатива Google направлена ​​на то, чтобы побудить поставщиков обеспечить защиту своих продуктов от эксплойтов нулевого дня. Он хочет, чтобы другие компании позаботились о том, чтобы ошибки повреждения памяти были невосприимчивы к эксплойтам. Что касается среднего мобильного пользователя, все, что вам нужно сделать, это постоянно обновлять свое устройство с помощью новейшего программного обеспечения, даже если это незначительное обновление безопасности.

В долгосрочной перспективе устранение эксплойтов нулевого дня потребует коллективных усилий всех вовлеченных сторон, включая производителей устройств. Такие компании, как Apple, Google и Microsoft, значительно расширяют возможности обнаружения нулевого дня. Таким образом, мы можем ожидать, что будут обнаружены и, надеюсь, исправлены новые эксплойты.