La sicurezza online e l’esperienza utente vanno di pari passo: nessuno vorrà usare nemmeno il telefono più elegante del mondo se lo lascia completamente aperto agli hacker. Ecco perché gli sviluppatori lavorano costantemente dietro le quinte per proteggere gli utenti, ma inevitabilmente alcuni difetti di sicurezza passano inosservati. Forse la classe più spaventosa sono gli exploit zero-day, per i quali non esiste alcuna patch per correggere queste falle quando gli attacchi arrivano per la prima volta. Questa settimana Google sta esaminando gli sforzi per scoprire queste vulnerabilità e, con 58 di esse rilevate e divulgate nel 2021, questo genere di falle ha avuto il suo singolo anno più impegnativo.
Quei 58 zero-day trovati nel 2021 rappresentano più del doppio dei 25 exploit rilevati nel 2020. Questo significa che il software sta diventando più insicuro o che gli hacker hanno raddoppiato i loro sforzi? No. Invece, Google suggerisce che la tendenza è più probabilmente il risultato di un migliore rilevamento degli exploit zero-day da parte di Microsoft, Apple e Google stessa.
Il post analizza in dettaglio gli exploit zero-day del 2021, ma ciò che spicca di più è quanto siano indietro molti fornitori nell’adozione di misure per fare qualcosa per le vulnerabilità note.
Project Zero di Google (un team di cacciatori di bug d’élite) mira a rendere più costoso, dispendioso in termini di risorse e nel complesso più difficile per gli hacker l’utilizzo degli zero-day, ma è un lavoro in corso. Di tutti gli zero-day rilevati, solo due (destinati a dispositivi iOS e Mac) erano davvero nuovi. Il resto erano variazioni di bug ben noti, con la maggior parte (67%) essendo una variazione di vulnerabilità di danneggiamento della memoria.
L’implicazione è che gli hacker non devono impegnarsi tanto quanto ci si aspetterebbe per trovare nuove superfici di attacco.
Google avverte che il suo record di attacchi zero-day non è così onnicomprensivo come potrebbe essere. Ad esempio, piattaforme di messaggistica come WhatsApp, Signal e Telegram non hanno segnalato vulnerabilità zero-day nel 2021, il che è sorprendente considerando che tutte e tre le app sono i principali obiettivi di hacking. Infatti, da quando Google ha iniziato a monitorare nel 2014, sono stati segnalati solo due zero-day per le app di messaggistica: WhatsApp nel 2019 e iMessage nel 2021.
L’azienda sospetta che la mancanza di rilevamento o divulgazione possa essere il motivo per cui questi numeri sono così bassi — non che le vulnerabilità non esistano necessariamente. Google spera che il settore tecnologico condivida più esempi di exploit con descrizioni tecniche dettagliate quando rivela exploit zero-day. Inoltre, sta implorando i fornitori di fare di più per rendere i bug di danneggiamento della memoria non sfruttabili.
Nel frattempo, potete fare del vostro meglio per proteggere i dispositivi dai malware assicurandovi che il loro software sia aggiornato. E, per la vostra sicurezza specifica online, utilizzare password manager e autenticazione a due fattori dove disponibile (magari non quella tramite SMS).
