Gli attacchi zero-day, cioé quegli attacchi informatici che sfruttano vulnerabilità non note allo sviluppatore che ha prodotto un determinato sistema informatico e definiti tali perché lo sviluppatore ha avuto "zero giorni" per riparare la falla nel programma, sono aumentate in modo esponenziale dal 2019 nei confronti del browser Chrome.
Il team Project Zero di Google ha quindi condiviso una serie di dati per spiegare i motivi di questa situazione e per esporre cosa sta facendo per porvi rimedio.
Il team di sicurezza evidenzia quattro ragioni principali per questa situazione
- maggiore trasparenza dei fornitori
- il fatto che i browser rispecchino sempre più la complessità dell'hardware
- Chromium è alla base sia di Chrome che di Microsoft Edge, quindi un singolo bug coinvolge più utenti
- alcuni attacchi che in precedenza potevano essere eseguiti con un singolo bug ora richiedono più bug
Ma cosa fa Google per affrontare gli attacchi? Da un lato vuole rafforzare il progetto Site Isolation, in particolare su Android, con l'aggiunta di più livelli di sicurezza che richiedono lo sfruttamento di più bug concatenati per avere successo. Ciò richiede sforzi ingegneristici a lungo termine che potrebbero richiedere un compromesso delle prestazioni. Dall'altro gli aggiornamenti. Moltissimi attacchi sfruttano bug già risolti, quindi bisogna aggiornare immediatamente il browser.