Google Zero 專案:2021 年發現 58 次零日漏洞,創歷史紀錄

作者 | 發布日期 2022 年 04 月 21 日 17:50 | 分類 Google , 資訊安全 , 軟體、系統 Telegram share ! follow us in feedly


Google Zero 專案(Project Zero)指出,2021 年整個科技產業有發現並揭露多達 58 個零日漏洞,這是歷年來的最高紀錄。與 2020 年科技產業檢測出的 25 個零日漏洞相比,到了 2021 年時卻倍增,但這不一定意味著人們使用的程式或系統變得不安全,相反地 Google 則認為,2021 年的零日漏洞暴增是因對於這些弱點的檢測與揭露增加,並非直指對於零日漏洞的不法利用。

當軟體或者硬體設計中有被專業人員公開揭露、但廠商還未即時修補的弱點,即是所謂的零日(0-day)漏洞。在廠商釋出更新修補弱點之前,零日漏洞可能會被駭客鎖定加以攻擊與利用,因此企業或政府機關若正在使用含有漏洞的程式與系統,恐會深受影響。

自 2014 年以來,Google 一直在追蹤零日漏洞,或者駭客利用過去未知且沒有修補的漏洞加以攻擊的事件,藉此分析安全趨勢,並衡量整個產業是否在解決這方面問題上有足夠能力。

2021 年的零日漏洞數量爆增,與此同時,回報漏洞威脅的組織數量也增加、達到 20 個,比前一年翻倍成長。於是有更多的人開始致力於檢測零日漏洞,那麼檢測出的漏洞數量可能也會增加。此外,當被揭露的弱點屬於零日漏洞時,Google 的 Android 團隊以及蘋果如何正確詮釋成了重點,而不是讓它不清不楚。事實上,就有額外的 12 個零日漏洞被增添至 2021 年清單當中。

Google 也表示,當檢視 2021 年的 58 個零日漏洞時,可看出與過去公開已知的零日漏洞相似。另一方面,零日漏洞攻擊背後的駭客可能更容易開發出新的漏洞,Google 補充說道,有 67% 的零日漏洞攻擊是利用記憶體損毀,這些漏洞通常源自軟體程式碼中的錯誤。

不過,其中有 2 個零日漏洞具有新意,涉及去年 9 月轟動一時的 ForcedEntry,是來自一家名為 NSO Group 的以色列網路情報公司,鎖定 iPhone、iPad 以及 Mac 電腦。ForcedEntry 的威脅性很大,只需向他人發送訊息就能接管對方的 iPhone,Google 將這樣的零日漏洞攻擊描述成「令人印象深刻的藝術作品」,因為它的技術成熟度,而且使用的是邏輯缺陷而非記憶體損毀。

Google 還繼續記錄在 Windows、Internet Explorer(IE)、Chrome、Android 等產品中檢測到的漏洞,然而該公司也指出,它對零日漏洞攻擊的追蹤並非相當透徹,例如 WhatsApp、Signal、Telegram 等平台在 2021 年就回報沒有零日漏洞,但是這 3 款通訊軟體卻都是駭客鎖定的目標。

Google 還藉此提出,科技產業通常專注於揭露漏洞,卻很少提到駭客實施攻擊的方法,為此 Google 呼籲科技產業應分享漏洞樣本及其詳細技術。

(首圖來源:pixabay