2 years ago
208
Nel corso del 2021 sono state sfruttate 58 vulnerabilità "zero day", quelle che vengono scoperte dagli autori di un attacco prima ancora che dagli sviluppatori di un software che hanno quindi a loro disposizione "zero giorni" per risolverlo o "patcharlo".
Secondo quanto rilevato dal Project Zero, il team di ricercatori di Google, si tratta del più alto numero di questo tipo di vulnerabilità mai registrato dall'inizio del monitoraggio nel 2014. Prima di questi dati, il maggior numero di exploit 0-day rilevati e divulgati era stato di 28 nel 2015. Il più basso è stato invece il 2020 con solo 20 exploit. Nel 2019 erano stati 21.
Questa tendenza al rialzo, oltre che da un aumento degli hack durante la pandemia e dalla crescente popolarità delle criptovalute, potrebbe essere dovuta anche al miglioramento del rilevamento e della segnalazione di vulnerabilità da parte di Microsoft, Apple, Apache e Google. Project Zero, se da un lato elogia queste aziende, dall'altro bacchetta anche Qualcomm e ARM che non sono state altrettanto attente nella comunicazione di vulnerabilità 0-day nei loro rapporti sulla sicurezza.
Tuttavia, la "buona notizia" è che la metodologia degli aggressori non è cambiata in modo significativo rispetto agli anni precedenti, la maggior parte degli utilizzi di questi exploit, infatti, sono "simili a vulnerabilità precedenti [e] pubblicamente note". Di conseguenza, non ci sarebbe un proporzionale aumento di pericoli per quanto riguarda la sicurezza online.
In generale, la maggior parte degli exploit 0-day sono stati rilevati in Chromium, 14 per l'esattezza (una alla fine dello scorso anno). In WebKit di Apple ne sono stati rilevati 7, 4 in Internet Explorer, 10 in Windows, altri 7 in Android, 5 in Microsoft Exchange Server, 4 in iOS di Apple e una sola in macOS. Proprio su iOS e macOS, Apple ha corretto a inizio aprile due gravi vulnerabilità di questo tipo.
English (US)