image

Google houdt spywareleveranciers verantwoordelijk voor bijna 70 zerodays

dinsdag 6 februari 2024, 13:42 door Redactie, 8 reacties

Bijna zeventig zerodaylekken in software van Adobe, Apple, Google, Microsoft en Mozilla, die sinds 2016 zijn ontdekt en gebruikt voor het aanvallen van gebruikers zijn het werk van commerciële spywareleveranciers, zo stelt Google in een nieuw rapport (pdf). Het techbedrijf vindt dat er meer internationale inzet nodig is om het 'spyware-ecosysteem' te verstoren en gebruikers te beschermen.

De spywareleveranciers leveren spyware waarmee het mogelijk is om volledige toegang tot smartphones of systemen van slachtoffers te krijgen en hen zo te bespioneren. Om de spyware op de telefoon te krijgen maken de bedrijven, die vaak voor overheden werken, gebruik van zerodaylekken, waar op het moment van de aanval nog geen update voor beschikbaar is. De spywareleveranciers zoeken zelf naar deze zerodays of betalen onderzoekers voor het melden hiervan. De kwetsbaarheden worden echter niet gemeld bij de betreffende softwareleverancier, waardoor er ook geen update voor wordt ontwikkeld en gebruikers kwetsbaar blijven.

Google stelt dat er sinds 2016 zeker 67 van dergelijke zerodays door commerciële spywareleveranciers zijn gebruikt om systemen te infecteren. Veel van de aangevallen kwetsbaarheden bevinden zich in Android, Google Chrome, en iOS. Sinds halverwege 2014 zijn er volgens Google 72 verschillende zerodaylekken gebruikt om gebruikers van Android, Google Chrome en andere Google-producten aan te vallen.

Volgens Google zijn zeker 35 van deze kwetsbaarheden door commerciële spywareleveranciers ingezet. Daarbij stelt het techbedrijf dat dit een lage ondergrens is en het werkelijke aantal zeer waarschijnlijk veel hoger is. Dat geldt zowel voor het totaal aantal geregistreerde zerodaylekken, als de zerodays die zijn ingezet om Google-gebruikers mee aan te vallen.

In het rapport over commerciële spyware laat Google weten dat de tijd voor overheden, industrie en maatschappij is gekomen om de beloningsstructuur waardoor spyware zich kan verspreiden te veranderen. Zo is Google voorstander van het reguleren van commerciële spyware. "De schade die deze industrie veroorzaakt is meer dan duidelijk op dit moment, en we vinden dat dit zwaarder weegt dan enig voordeel om er gebruik van te blijven maken", aldus Google.

Reacties (8)
06-02-2024, 14:59 door Anoniem
Vreemde interpretatie. De 0days zitten in de software en worden gevonden en gebruikt door de spyware leveranciers, niet door de spyware leveranciers geplaatst. De verantwoordelijkheid ligt bij de software maker. Niet de gebruiker van de gaten.
06-02-2024, 15:14 door Anoniem
Zwakke sloten zijn het werk van inbrekers...
06-02-2024, 15:36 door Briolet
Bijna zeventig zerodaylekken in software van …
…zijn het werk van commerciële spywareleveranciers,

Dat klopt natuurlijk niet. Deze mensen hebben de zerodays alleen ontdekt en niet in de software gestopt. Het waren toch echt de originele programmeurs die de software gereleased hebben voordat het deugdelijk getest was.
06-02-2024, 16:13 door Anoniem
Door Briolet:
Bijna zeventig zerodaylekken in software van …
…zijn het werk van commerciële spywareleveranciers,

Dat klopt natuurlijk niet. Deze mensen hebben de zerodays alleen ontdekt en niet in de software gestopt. Het waren toch echt de originele programmeurs die de software gereleased hebben voordat het deugdelijk getest was.

Misschien kun je de software wereld verblijden door te vertellen hoe je zodanig test dat deze zerodays gevonden worden ?
06-02-2024, 21:16 door Anoniem
Simpel, je geeft het systeem onder test, binaire shit te eten, en je kijkt hoe het reageert.

3 opties:
1) Krijg je een fout code/melding , dan is het goed, en doe je het nog een keer met andere binaire shit etc.

2) Het systeem gaat onderuit, dan ga je zoeken waarom het systeem GEEN foutmelding/code heeft gegeven, en corrigeer je dat, en doe het nog een keer met andere binaire shit.

3) Geeft het systeem een antwoord, dan doe je hetzelfde als bij twee. (het systeem zou geen antwoord moeten produceren, op binaire shit)

Als bovenstaande blijkt dat het systeem altijd foutmeldingen geeft op binaire shit, dan maak je een aantal test cases die de randwaarden van parameters op zoekt, of ver overschrijdt, verkeerde parameters invoert , dus cijfer als er letter verwacht worden etc. Zgn Sanity tests (heel vaak vergeten!)

Geeft het systeem nog steeds alleen foutmeldingen op bovenstaand foute use cases, dan ga je over op Stresstesten.

Bijvoorbeel een stresstest met 100% belasting gedurende een week, of maand.

Blijf het systeem overeind dan heb je een aardig systeem, maar dat is nog steeds niet 100% safe, want dat bestaat niet.

Mijn indruk is dat er vandaag de dag heel weinig getest wordt.
06-02-2024, 22:52 door Anoniem
Dataminimalisatie zorgt voor een redelijk goede mitigatie van dit soort problemen.
07-02-2024, 10:05 door Anoniem
Door Anoniem:
Door Briolet:
Bijna zeventig zerodaylekken in software van …
…zijn het werk van commerciële spywareleveranciers,

Dat klopt natuurlijk niet. Deze mensen hebben de zerodays alleen ontdekt en niet in de software gestopt. Het waren toch echt de originele programmeurs die de software gereleased hebben voordat het deugdelijk getest was.

Misschien kun je de software wereld verblijden door te vertellen hoe je zodanig test dat deze zerodays gevonden worden ?
Data fuzzing.
08-02-2024, 09:25 door Anoniem
Door Anoniem: Simpel, je geeft het systeem onder test, binaire shit te eten, en je kijkt hoe het reageert.

3 opties:
1) Krijg je een fout code/melding , dan is het goed, en doe je het nog een keer met andere binaire shit etc.

2) Het systeem gaat onderuit, dan ga je zoeken waarom het systeem GEEN foutmelding/code heeft gegeven, en corrigeer je dat, en doe het nog een keer met andere binaire shit.

3) Geeft het systeem een antwoord, dan doe je hetzelfde als bij twee. (het systeem zou geen antwoord moeten produceren, op binaire shit)

Als bovenstaande blijkt dat het systeem altijd foutmeldingen geeft op binaire shit, dan maak je een aantal test cases die de randwaarden van parameters op zoekt, of ver overschrijdt, verkeerde parameters invoert , dus cijfer als er letter verwacht worden etc. Zgn Sanity tests (heel vaak vergeten!)

Geeft het systeem nog steeds alleen foutmeldingen op bovenstaand foute use cases, dan ga je over op Stresstesten.

Bijvoorbeel een stresstest met 100% belasting gedurende een week, of maand.

Blijf het systeem overeind dan heb je een aardig systeem, maar dat is nog steeds niet 100% safe, want dat bestaat niet.

Mijn indruk is dat er vandaag de dag heel weinig getest wordt.

En dat begint op subroutine niveau, dan op groupjes code etc tot het geheel getest kan worden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.