Google Zero项目(Project Zero)指出,2021年整个科技产业有发现并披露多达58个零日漏洞,这是历年来的最高记录。与2020年科技产业检测出的25个零日漏洞相比,到了2021年时却倍增,但这不一定意味着人们使用的程序或系统变得不安全,相反地Google则认为,2021年的零日漏洞暴增是因对于这些弱点的检测与披露增加,并非直指对于零日漏洞的不法利用。
当软件或者硬件设计中有被专业人员公开披露、但厂商还未即时修补的弱点,即是所谓的零日(0-day)漏洞。在厂商发布更新修补弱点之前,零日漏洞可能会被黑客锁定加以攻击与利用,因此企业或政府机关若正在使用含有漏洞的程序与系统,恐会深受影响。
自2014年以来,Google一直在关注零日漏洞,或者黑客利用过去未知且没有修补的漏洞加以攻击的事件,借此分析安全趋势,并衡量整个产业是否在解决这方面问题上有足够能力。
2021年的零日漏洞数量暴增,与此同时,回应漏洞威胁的组织数量也增加、达到20个,比前一年翻倍增长。于是有更多的人开始致力于检测零日漏洞,那么检测出的漏洞数量可能也会增加。此外,当被披露的弱点属于零日漏洞时,Google的Android团队以及苹果如何正确诠释成了重点,而不是让它不清不楚。事实上,就有额外的12个零日漏洞被增添至2021年清单其中。
Google也表示,当查看2021年的58个零日漏洞时,可看出与过去公开已知的零日漏洞相似。另一方面,零日漏洞攻击背后的黑客可能更容易开发出新的漏洞,Google补充说道,有67%的零日漏洞攻击是利用内存损毁,这些漏洞通常源自软件程序代码中的错误。
不过,其中有2个零日漏洞具有新意,涉及去年9月轰动一时的ForcedEntry,是来自一家名为NSO Group的以色列网络情报公司,锁定iPhone、iPad以及Mac计算机。ForcedEntry的威胁性很大,只需向他人发送消息就能接管对方的iPhone,Google将这样的零日漏洞攻击描述成“令人印象深刻的艺术作品”,因为它的技术成熟度,而且使用的是逻辑缺陷而非内存损毁。
Google还继续记录在Windows、Internet Explorer(IE)、Chrome、Android等产品中检测到的漏洞,然而该公司也指出,它对零日漏洞攻击的关注并非相当透彻,例如WhatsApp、Signal、Telegram等平台在2021年就回应没有零日漏洞,但是这3款通信软件却都是黑客锁定的目标。
Google还借此提出,科技产业通常专注于披露漏洞,却很少提到黑客实施攻击的方法,为此Google呼吁科技产业应分享漏洞样本及其详细技术。
(首图来源:pixabay)