هشدار گوگل: تعداد آسیب‌پذیری‌ها از روز صفر به حداکثر خود رسیده است

اعضای تیم Google Project Zero که متخصص در یافتن آسیب‌پذیری‌های امنیتی شبکه هستند، می‌گویند که تا سال ۲۰۲۱ ۵۸ آسیب‌پذیری Zero-Day را در نرم‌افزارهای محبوب کشف کرده‌اند و در کمال تعجب تنها دو مورد جدید کاملاً جدید هستند. و آسیب‌پذیری‌های دیگر بارها و بارها بر فناوری قدیمی تکیه کرده‌اند.

به گفته ZDNet، یافته های تیم Zero Project گوگل هم خبر خوب و هم بد برای صنعت نرم افزار است. سال 2021 از نظر تعداد آسیب‌پذیری‌های امنیتی روز صفر در گوگل کروم، ویندوز، سافاری، اندروید، iOS، فایرفاکس، آفیس و مایکروسافت اکسچنج رکوردی بود. بررسی ها نشان می دهد که هکرها قبل از انتشار به روز رسانی امنیتی از آسیب پذیری های نرم افزار و سیستم عامل ها سوء استفاده کرده اند.

تیم Zero Project ردیابی آسیب‌پذیری‌های Zero Day را در اواسط سال ۲۰۱۴ آغاز کرد و از آن زمان تاکنون هیچ گزارشی از ۵۸ نوع آسیب‌پذیری در یک سال گزارش نشده است. این دو برابر نرخ تشخیص سالانه آسیب‌پذیری‌های روز صفر است.

محققان امنیتی گوگل می گویند که تعداد آسیب پذیری ها احتمالا بیشتر است. زیرا پیدا نکردن اشتباه به معنای نبود آن نیست. گوگل می گوید فرآیند اشکال زدایی امنیتی بهتر از همیشه است و همچنان به خوبی پیش می رود.

با این حال، یکی از محققان گوگل می‌گوید که شناسایی آسیب‌پذیری‌ها از روز صفر و انتشار آنها به معنای شکست هکرها است، در حالی که «ما به یک نمونه بهره‌برداری یا مقاله فنی دقیق بر اساس آن نمونه دسترسی نداریم»، فقط می‌توانیم برای رفع این آسیب‌پذیری تلاش کنیم. و آن را خنثی کنید. هیچ آسیب پذیری در استفاده از آن وجود نخواهد داشت.

این بدان معنی است که هکرها همچنان می توانند از روش فعلی خود برای سوء استفاده از آسیب پذیری ها استفاده کنند و برای ورود به مرحله طراحی و توسعه روش جدید نیازی به چند قدم به عقب رفتن نیست.

مطالعات نشان می‌دهد که هکرها با موفقیت از تکنیک‌های تحقیقاتی باگ استفاده مجدد می‌کنند و سطح حمله آنها تغییر نمی‌کند. بنابراین، هکرها هنوز مجبور نیستند برای توسعه روش‌های جدید سرمایه‌گذاری کنند و این سوال را مطرح می‌کند که کارشناسان چقدر هزینه هکرها را افزایش داده‌اند.

یکی از محققان گوگل در سال 2021 نوشت: «تنها دو آسیب‌پذیری روز صفر کاملاً جدید بودند. یکی به دلیل «پیچیدگی فنی روش اکسپلویت» و دیگری به دلیل «استفاده از خطاهای منطقی برای خارج شدن از سندباکس».

تیم Google Zero Project امیدوار است که برای توسعه بیشتر در سال 2022، شرکت ها با جزئیات اعلام کنند که هکرها به طور فعال از اشکالات سوء استفاده می کنند (مشابه روشی که تیم امنیتی Google Chrome انجام می دهد). اپل برای اولین بار در سال 2021 جزئیات استفاده از خطاها در iOS را اعلام کرد.

کارشناسان امنیتی گوگل همچنین خواستار گسترش بیشتر نمونه های اکسپلویت یا جزئیات فنی اکسپلویت ها هستند. علاوه بر این، Project Zero امیدوار است تعداد آسیب‌پذیری‌های آسیب‌پذیر حافظه را که رایج‌ترین نوع آسیب‌پذیری امنیتی هستند، کاهش دهد. به گفته یکی از محققان گوگل، 39 (یا 67٪) از 58 خطای کشف شده توسط Project Zero در سال گذشته در برابر حافظه آسیب پذیر بودند.