Google har publiceras 2021 års granskning av Project Zero, avslöjade rekordmängder zero-days bedrifter (märkt som "en av de mest avancerade attackmetoderna") utställd av några av världens största teknikföretag.
Innehåll
- Apple, iOS, MacOS och Windows
- Hackare håller sig till beprövade metoder
Project Zero är ett initiativ som startades av Google 2014 som syftar till att beskriva säkerhetsbrister som kallas nolldagsexploater. Dessa sårbarheter är farliga eftersom de i princip förblir oupptäckta om inte ett begränsningssystem har implementerats, vilket gör att system, databaser och liknande blir helt exponerade för hackare.
Bokslutsrapporten för 2021 bekräftade att 58 nolldagars exploateringar upptäcktes. Det är det högsta beloppet som upptäckts sedan Project Zeros startades - 2015 var den tidigare rekordhållaren med totalt 28 digitala bedrifter.
Relaterad
- Skapar ChatGPT en cybersäkerhetsmardröm? Vi frågade experterna
- Nej, 1Password hackades inte – här är vad som verkligen hände
- LastPass avslöjar hur det blev hackat - och det är inga goda nyheter
Jämförelsevis, på höjden av pandemin som såg hackare intensifiera sina ansträngningar för skadlig cyberbrottslighet, avslöjade Googles säkerhetsteam 25 säkerhetsbrister under 2020.
Rekommenderade videor
Google betonade att rekordet 58 nolldagars utnyttjande som var offentligt detaljerade inte nödvändigtvis är en indikation på "ökad användning av zero-day exploits." Tvärtom, företaget tillskriver det den "ökade upptäckten och avslöjandet av dessa noll dagar."
"Det är högst troligt att 2021 fanns det andra nolldagar som exploaterades i naturen och upptäcktes, men leverantörer nämnde inte detta i sina releasenotes. Under 2022 hoppas vi att fler leverantörer börjar notera när de korrigerar sårbarheter som har utnyttjats i det vilda. Tills vi är övertygade om att alla leverantörer öppet avslöjar status i naturen, är det en stor fråga om hur många i det vilda nolldagar som upptäcks, men inte märks offentligt av leverantörer."
Rapportens första zero-day exploit som analyserades involverade Googles alldeles egna Chromium, som tillhandahåller öppen källkod för sin Chrome-webbläsare.
Chromium såg rekordhöga 14 nolldagars buggar. Bland exploateringen var 10 buggar för fjärrexekvering av kod, 2 sandlåderymningar och 1 infoläcka. Det sista nolldagsfelet resulterade i att hackare försökte öppna en webbsida i Android-baserade appar istället för Chrome.
På andra håll, sju Android noll dagar identifierades - ett ganska stort hopp från den enda exploateringen som hittades 2019, vilket var för övrigt den enda andra upptäckten från Project Zero-teamet som gällde Googles mobil operativ system.
Apple, iOS, MacOS och Windows
Google nämnde också WebKit, som är Apples webbläsarmotor som driver Safari. Enligt Google, före 2021, avslöjade Apple bara en offentlig zero-day exploit som var designad för att infiltrera WebKit/Safari. Redan då materialiserades avslöjandet via en tredjepartsforskares studie.
Men 2021 var det sju nolldagar associerade med Apples webbläsare, varav fyra var involverade Safaris Javascript Engine-komponent.
Att bryta sig loss från teknikjättens tidigare hemlighetsfulla natur när det gällde att beskriva 0-dagars bedrifter, "2021 var det första hela året som Apple kommenterade sina releasenotes med i vild status sårbarheter.”
För detta ändamål bekräftades fem iOS nolldagar av Apple, medan den första offentligt upptäckta MacOS nolldagen också avslöjades.
Apple lägger stor vikt vid sina säkerhetsåtgärder för iOS- och Mac-baserade system. När allt kommer omkring, det gav en student 100 000 dollar för att ha hackat den senare.
När det gäller Microsoft, detaljerade Google 10 Windows zero-days som var inriktade på sju separata element, inklusive Enhanced crypto provider (ingen överraskning där, naturligtvis), NTOS-kärna och Win32k.
"Windows är den plattform där vi har sett den största förändringen av komponenter som vi riktar in oss på jämfört med tidigare år. Men detta skifte har i allmänhet pågått under några år och förutspåtts med slutet av livet för Windows 7 år 2020 och därmed varför det fortfarande inte är speciellt nytt, säger Google.
Windows 11 var också utsatt för ett nolldagarshack efter lanseringen. Microsoft betalar dock inte lika bra som Apple när det kommer till buggupptäckter i vissa fall: Utbetalningarna har tydligen minskat till $1 000 från $10 000.
Under 2021 hittades dessutom fem nolldagar kopplade till Microsoft Exchange Server. "Detta är första gången någon Exchange-server i vilda nolldagar har upptäckts och avslöjats sedan vi började spåra i vilda nolldagar", tillade rapporten.
Hackare håller sig till beprövade metoder
Inom rapportens Nytt år, gamla tekniker sektionen betonade Google att trots rekordantalet "datapunkter" 2021 "för att förstå hur angripare är faktiskt använder nolldagars utnyttjande,” det var faktiskt förvånad över att det kände igen all denna data – “det fanns ingenting ny."
"Zero-day exploits anses vara en av de mest avancerade attackmetoderna en skådespelare kan använda, så det skulle vara lätt att dra slutsatsen att angripare måste använda speciella trick och attackytor. Men i stället följde de nolldagar vi såg 2021 i allmänhet samma buggmönster, attackytor och utnyttjande "former" som tidigare setts i offentlig forskning.
Cirka 67 % av de 58 nolldagarsmissbruken var minneskorruptionssårbarheter. Google sa att detta inte borde komma som en överraskning när man tänker på det faktum att denna specifika kategori är den bästa metoden för hitta en väg in i programvara "under de senaste decennierna", och det är till stor del anledningen till att angripare fortsätter att framgångsrikt få tillgång till dess mål.
Google avslutade sin rapport med ett uttalande om effekterna av zero-day exploits och konsekvenserna av en framgångsrik attack.
"Medan majoriteten av människor på planeten inte behöver oroa sig för sin egen personliga risk att bli utsatta för nolldagar, påverkar nolldagars exploatering oss alla. Dessa nolldagar tenderar att ha en överdriven inverkan på samhället, så vi måste fortsätta att göra allt vi kan för att göra det svårare för angripare att lyckas med dessa attacker. 2021 visade oss att vi är på rätt väg och gör framsteg, men det finns mycket mer att göra för att göra zero-day svårt.”
Med världen som blir mer digital och teknikdriven än någonsin tidigare tjänar cyberkriminella miljarder dollar på att utnyttja individer.
Med en ökning av cyberbrottslighet över hela linjen, nästan 7 miljarder dollar stals från människor förra året, som till stor del hänförs till vissa brottstyper såsom personuppgiftsintrång (rensa dina lösenord) och ransomware.
Redaktörens rekommendationer
- Denna kritiska exploatering kan låta hackare kringgå din Macs försvar
- Google gjorde just detta viktiga säkerhetsverktyg för Gmail helt gratis
- Uppdatera Chrome nu för att undvika detta stora nolldagsutnyttjande
- Hackare har hittat ett sätt att hacka dig som du aldrig förväntar dig
- Elon Musks Starlink-satelliter hackade av en hemgjord enhet för $25
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
