Το 2021 ήταν ένα έτος που είχαμε ρεκόρ στον αριθμό των zero-days του Chrome που εκμεταλλεύονταν οι εισβολείς προτού η Google τα μάθει. Χάνει η Google τον αγώνα ενάντια στους χάκερ;
Δείτε επίσης: Google Chrome: Επιτρέπει προσθήκη σημειώσεων σε αποθηκευμένους κωδικούς πρόσβασης
Σύμφωνα με τον zero-day tracker του Google Project Zero, πέρυσι επιδιορθώθηκαν 25 browser zero-days, εκ των οποίων τα 14 ήταν για τον Chrome, τα έξι ήταν για το WebKit engine του Safari και τα τέσσερα για τον Internet Explorer. Το 2020, υπήρχαν μόνο 14 browser zero-day flaws, εκ των οποίων περισσότερα από τα μισά ήταν στον Chrome. Αλλά μεταξύ 2015 και 2018 δεν υπήρχαν “Chrome zero-day exploits in the wild”, σύμφωνα με τα δεδομένα του tracker.
Ο Adrian Taylor, τεχνικός διευθυντής προγράμματος στην Ομάδα Ασφάλειας του Chrome, λέει σε μια ανάρτηση ιστολογίου ότι η αύξηση των browser zero-days “μπορεί αρχικά να φαίνεται ανησυχητική” και “θα μπορούσε να υποδηλώνει μια ανησυχητική τάση”. Αλλά υποστηρίζει ότι θα μπορούσε να είναι καλό γιατί σημαίνει ότι εντοπίζονται και διορθώνονται περισσότερα zero-days.
Με άλλα λόγια, η ερμηνεία των τάσεων στα zero-day data – όπως η πρόταση ότι δεν υπήρχαν μηδενικές ημέρες μεταξύ 2015 και 2018 – είναι δύσκολη, επειδή περιλαμβάνει μόνο εκείνα που είναι πλέον γνωστά και ελπίζουμε ότι έχουν διορθωθεί. Πιθανότατα υπάρχουν περισσότερα άγνωστα που χρησιμοποιούνται εκεί έξω.
Δείτε επίσης: Η Google σύντομα θα καταργήσει το Chrome Lite Mode
Αυτό είναι παρόμοιο με ένα συμπέρασμα σχετικά με τα zero-days που έβγαλε η Ομάδα Ανάλυσης Απειλών (TAG) της Google πέρυσι: “Δεν υπάρχει σχέση ένα προς ένα μεταξύ του αριθμού των zero-days που χρησιμοποιούνται από τους χάκερ και του αριθμού των zero-days που ανιχνεύονται και αποκαλύπτονται ως in-the-wild.”
Δείτε επίσης: Η Google λέει ότι η τελευταία ενημέρωση του Chrome είναι ταχύτερη από το Safari
Ωστόσο, ανακαλύφθηκαν πολλά zero-day exploits το 2021. Ο Taylor προσφέρει τέσσερις λόγους για αυτό. Πρώτον, οι κατασκευαστές προγραμμάτων περιήγησης σήμερα είναι πιο διαφανείς σχετικά με τα εκμεταλλεύσιμα σφάλματα από ό,τι στο παρελθόν. Το Google Project Zero – το οποίο δίνει στους προμηθευτές 90 ημέρες για να διορθώσουν ένα σφάλμα πριν το αποκαλύψουν δημόσια – βοήθησε στην ομαλοποίηση αυτής της συμπεριφοράς από μεγάλους προμηθευτές λογισμικού.
Πηγή πληροφοριών: zdnet.com
