گوگل هشدار داد: تعداد آسیبپذیریهای روز صفر به بیشترین حد رسیده است
اعضای تیم پروژهی صفر گوگل (Project Zero) که متخصص یافتن آسیبپذیریهای امنیتی در دنیای وب هستند، میگویند در سال ۲۰۲۱ بالغبر ۵۸ آسیبپذیری روز صفر (Zero-Day) در نرمافزارهای محبوب پیدا کردند و در کمال تعجب تنها دو مورد از آنها کاملاً جدید بوده و بقیهی آسیبپذیریها بارها و بارها بر تکنیکی قدیمی اتکا کردهاند.
براساس گزارش ZDNet، یافتههای تیم پروژهی صفر گوگل همزمان خبری خوب و هم خبری بد برای صنعت نرمافزار است. سال ۲۰۲۱ از لحاظ تعداد آسیبپذیریهای امنیتی روز صفر در گوگل کروم، ویندوز، سافاری، اندروید، iOS، فایرفاکس، آفیس و مایکروسافت اکسچنج رکورددار بود. بررسیها نشان میدهد هکرها از آسیبپذیری نرمافزار و سیستمهای عامل یادشده، پیش از انتشار بهروزرسانی امنیتی، بهره گرفتهاند.
تیم پروژهی صفر از اواسط سال ۲۰۱۴ رهگیری آسیبپذیریهای روز صفر را آغاز کرد و از آن زمان تاکنون سابقه نداشته است ۵۸ نوع از این آسیبپذیری در یک سال کشف شود. این عدد دو برابر بیشتر از نرخ سالانهی کشف آسیبپذیری روز صفر است.
محققان امنیتی گوگل میگویند احتمالاً تعداد آسیبپذیریها بیشتر از این است؛ چون کشف نشدن باگ به معنی وجود نداشتن آن نیست. گوگل میگوید فرایند شناسایی باگهای امنیتی بهتر از قبل شده و همچنان این روند مثبت را طی میکند.
کشف آسیبپذیری روز صفر و عمومی کردن آن به معنی شکست هکرها است، بااینحال یکی از محققان گوگل میگوید تا زمانی که «به نمونهی اکسپلویت یا مقالهی فنی پرجزئیات برپایهی آن نمونه دسترسی نداشته باشیم» صرفاً میتوانیم روی برطرف ساختن آسیبپذیری کار کنیم و امکان خنثیسازی روش استفاده از آن آسیبپذیری وجود نخواهد داشت.
این یعنی هکرها همچنان میتوانند به استفاده از روش فعلی خود برای بهرهگیری از آسیبپذیری ادامه دهند و نیازی نیست که چند قدم به عقب برگردند تا وارد فاز طراحی و توسعهی روش جدید شوند.
بررسیها نشان میدهد هکرها به شکلی موفقیتآمیز در حال استفادهی مجدد از تکنیکهای بهرهبرداری از باگ هستند و سطح حملهی آنها تغییری نمیکند. بدین ترتیب هکرها تاکنون مجبور به سرمایهگذاری برای توسعهی روشهای جدید نشدهاند و همین موضوع این سؤال را ایجاد میکند که متخصصان چقدر هزینهها را برای هکرها بالا بردهاند.
محقق گوگل مینویسد در سال ۲۰۲۱ «تنها دو آسیبپذیری روز صفر، کاملاً جدید بودند»؛ یکی از آنها بهخاطر «پیچیدگی فنیِ روش اکسپلویت» و دیگری بهخاطر «استفاده از باگهای منطقی برای خروج از سندباکس».
تیم پروژهی صفر گوگل امیدوار است برای پیشرفت بیشتر در سال ۲۰۲۲، شرکتها با جزئیات اعلام کنند که هکرها فعالانه در حال استفاده از باگها هستند (مشابه روشی که تیم امنیتی گوگل کروم انجام میدهد). اپل نخستین بار در سال ۲۰۲۱ جزئیات مربوط به بهرهگیری از باگهای iOS را اعلام کرد.
متخصصان امنیت در گوگل همچنین خواستار این هستند که نمونههای اکسپلویت یا جزئیات فنی اکسپلویتها بهصورت گستردهتری منتشر شود. در کنار اینها تیم پروژهی صفر امیدوار است تعداد آسیبپذیریهای تخریب حافظه که با اختلاف، معمولترین نوع نقص امنیتی هستند، کاهش یابد. به گفتهی محقق گوگل، ۳۹ مورد (یا ۶۷ درصد) از ۵۸ باگ کشفشده توسط پروژهی صفر در سال گذشتهی میلادی از نوع آسیبپذیری تخریب حافظه بوده است.