Het jaar is nog niet voorbij maar Google heeft nu al een recordaantal zerodaylekken geregistreerd waarvan actief misbruik is gemaakt voordat beveiligingsupdates beschikbaar waren. Zerodaylekken zijn zeer interessant voor aanvallers omdat doelwitten niet weten dat ze kwetsbaar zijn en patches van de leverancier ontbreken. Sinds enige jaren houdt Google een lijst bij van dergelijke kwetsbaarheden en aanvallen.
Het overzicht gaat terug tot en met 2014. Volgens de cijfers van Google was 2015 het vorige "recordjaar", toen er 28 zerodaylekken werden waargenomen. In de eerste zes maanden van dit jaar registreerde het techbedrijf al 33 zerodays in verschillende platformen en programma's. Het gaat om Apple Webkit (6), Microsoft Windows (6), Google Chrome (5), Android (5), Microsoft Exchange (4), Adobe Reader (3), Internet Explorer (2), Apple iOS (1) en Windows Defender (1). Bij veel van deze aanvallen is er geen interactie van slachtoffers vereist, behalve bijvoorbeeld het bezoeken van een gecompromitteerde of malafide website.
Maddie Stone van Google Project Zero liet onlangs tijdens een conferentie weten dat onderzoekers nu een beter beeld hebben van de aanvallen die plaatsvinden, in plaats van dat slechts een klein gedeelte wordt gezien. Het Google Project Zero-team waar Stone deel van uitmaakt heeft als motto "make zero-day hard." Het is de bedoeling om het lastiger voor aanvallers te maken om zerodays in te zetten. Zo moet de toepassing van nieuwe technieken de ontwikkeling van exploits bemoeilijken.
Daarnaast moeten softwareleveranciers volgens Stone betere beveiligingsupdates ontwikkelen om ervoor te zorgen dat gerelateerde kwetsbaarheden door één patch worden afgevangen. De huidige patchmethodes maken het niet lastiger om andere zerodays te vinden, stelt Stone. Eerder dit jaar meldde Google al dat een kwart van de in 2020 ontdekte zerodays door betere patches van leveranciers voorkomen had kunnen worden.
Een ander punt dat meespeelt is de handel in zerodays. Eén van de recent door Google ontdekte zerodaylekken lijkt volgens het techbedrijf te zijn ontwikkeld door een commercieel exploitbedrijf. Burgerrechtenbewegingen zoals de Amerikaanse EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven die exploits voor zerodaylekken aanbieden. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.