گوگل هشدار داد:‌ تعداد آسیب‌پذیری‌های روز صفر به بیشترین حد رسیده است

اعضای تیم پروژه‌ی صفر گوگل (Project Zero) که متخصص‌ یافتن آسیب‌‌پذیری‌های امنیتی در دنیای وب هستند، می‌گویند در سال ۲۰۲۱ بالغ‌بر ۵۸ آسیب‌پذیری روز صفر (Zero-Day) در نرم‌افزارهای محبوب پیدا کردند و در کمال تعجب تنها دو مورد از آ‌ن‌ها کاملاً جدید بوده و بقیه‌ی آسیب‌پذیری‌ها بارها و بارها بر تکنیکی قدیمی اتکا کرده‌اند.

براساس گزارش ZDNet، یافته‌های تیم پروژه‌ی صفر گوگل هم‌زمان خبری خوب و هم خبری بد برای صنعت‌ نرم‌افزار است. سال ۲۰۲۱ از لحاظ تعداد آسیب‌پذیری‌های امنیتی روز صفر در گوگل کروم، ویندوز، سافاری، اندروید، iOS، فایرفاکس، آفیس و مایکروسافت اکسچنج رکورددار بود. بررسی‌ها نشان می‌دهد هکرها از آسیب‌پذیری نرم‌افزار و سیستم‌های عامل یادشده، پیش از انتشار به‌روزرسانی امنیتی، بهره گرفته‌اند.

تیم پروژه‌ی صفر از اواسط سال ۲۰۱۴ رهگیری آسیب‌پذیری‌های روز صفر را آغاز کرد و از آن زمان تاکنون سابقه نداشته است ۵۸ نوع از این آسیب‌پذیری در یک سال کشف شود. این عدد دو برابر بیشتر از نرخ سالانه‌ی کشف آسیب‌پذیری روز صفر است.

محققان امنیتی گوگل می‌گویند احتمالاً تعداد آسیب‌پذیری‌ها بیشتر از این است؛ چون کشف نشدن باگ به معنی وجود نداشتن آن نیست. گوگل می‌گوید فرایند شناسایی باگ‌های امنیتی بهتر از قبل شده و همچنان این روند مثبت را طی می‌کند.

کشف آسیب‌پذیری روز صفر و عمومی کردن آن به معنی شکست هکرها است، بااین‌حال یکی از محققان گوگل می‌گوید تا زمانی که «به نمونه‌ی اکسپلویت یا مقاله‌ی فنی پرجزئیات برپایه‌ی آن نمونه دسترسی نداشته باشیم» صرفاً می‌توانیم روی برطرف ساختن آسیب‌پذیری کار کنیم و امکان خنثی‌سازی روش استفاده از آن آسیب‌پذیری وجود نخواهد داشت.

این یعنی هکرها همچنان می‌توانند به استفاده از روش فعلی خود برای بهره‌گیری از آسیب‌پذیری ادامه دهند و نیازی نیست که چند قدم به عقب برگردند تا وارد فاز طراحی و توسعه‌ی روش جدید شوند.

بررسی‌ها نشان می‌دهد هکرها به شکلی موفقیت‌آمیز در حال استفاده‌ی مجدد از تکنیک‌های بهره‌برداری از باگ هستند و سطح حمله‌ی آن‌ها تغییری نمی‌کند. بدین ترتیب هکرها تاکنون مجبور به سرمایه‌گذاری برای توسعه‌ی روش‌های جدید نشده‌اند و همین موضوع این سؤال را ایجاد می‌کند که متخصصان چقدر هزینه‌ها را برای هکرها بالا برده‌اند.

محقق گوگل می‌نویسد در سال ۲۰۲۱ «تنها دو آسیب‌پذیری روز صفر، کاملاً جدید بودند»؛ یکی از آن‌ها به‌خاطر «پیچیدگی فنیِ روش اکسپلویت» و دیگری به‌خاطر «استفاده از باگ‌های منطقی برای خروج از سندباکس».

تیم پروژه‌ی صفر گوگل امیدوار است برای پیشرفت بیشتر در سال ۲۰۲۲، شرکت‌ها با جزئیات اعلام کنند که هکرها فعالانه در حال استفاده از باگ‌ها هستند (مشابه روشی که تیم امنیتی گوگل کروم انجام می‌دهد). اپل نخستین بار در سال ۲۰۲۱ جزئیات مربوط به بهره‌گیری از باگ‌های iOS را اعلام کرد.

متخصصان امنیت در گوگل همچنین خواستار این هستند که نمونه‌های اکسپلویت یا جزئیات فنی اکسپلویت‌ها به‌صورت گسترده‌تری منتشر شود. در کنار این‌ها تیم پروژه‌ی صفر امیدوار است تعداد آسیب‌پذیری‌های تخریب حافظه که با اختلاف، معمول‌ترین نوع نقص امنیتی هستند، کاهش یابد. به گفته‌ی محقق گوگل، ۳۹ مورد (یا ۶۷ درصد) از ۵۸ باگ کشف‌شده توسط پروژه‌ی صفر در سال گذشته‌ی میلادی از نوع آسیب‌پذیری تخریب حافظه بوده است.