Gli esperti del team Project Zero di Google hanno pubblicato il report sulle 58 vulnerabilità zero-day scoperte nel corso del 2021. Purtroppo il numero è in aumento rispetto agli anni precedenti (nel 2020 erano solo 25), anche se non tutte sono state sfruttate per eseguire attacchi informatici. L’azienda di Mountain View evidenzia che le tecniche usate dai cybercriminali sono quasi sempre le stesse, segno che i produttori non prestano molta attenzione ai problemi di sicurezza.
Record di exploit zero-day nel 2021
Google ritiene che il numero maggiore di vulnerabilità zero-day sia dovuto a due fattori principali. Il primo è l’aumento delle rilevazioni dovuto al numero crescente di persone che scoprono gli exploit (ricercatori indipendenti o i produttori dei software). Il secondo è invece la divulgazione delle vulnerabilità nei bollettini di sicurezza, quindi prima che vengano sfruttate in attacchi reali.
Nel report del team Project Zero sono inoltre elencate i tipi di vulnerabilità. Il 67%, ovvero 39 su 58, sono legate alla corruzione della memoria. Altre sono use-after-free (17), out-of-bounds read & write (6), buffer overflow (4) e integer overflow (4).
Per quanto riguarda invece i singoli software, al primo posto della classifica c’è Chromium/Chrome con 14 vulnerabilità zero-day scoperte nel 2021. Seguono Windows (10 bug), Android (7), WebKit/Safari (7), iOS (5), Internet Explorer (4) e macOS (1). La più famosa vulnerabilità zero-day di iOS è FORCEDENTRY sfruttata dal tool Pegasus di NSO Group.
Tra gli attacchi più noti del 2021 ci sono ovviamente quelli effettuati contro i server Microsoft Exchange dai cybercriminali cinesi di Hafnium. In questo caso sono state sfruttate quattro vulnerabilità zero-day.
I ricercatori di Google hanno infine evidenziato che nel 2021 è stato segnalato solo un bug in iMessagge. Altre app di messaggistica (WhatsApp, Telegram, Signal) sono spesso il bersaglio di attacchi informatici. Non ci sono exploit oppure le rispettive software house non hanno voluto divulgare le informazioni?