2021 bateu recorde de detecção de vulnerabilidades de dia zero
Por Dácio Castelo Branco • Editado por Claudio Yuge |
Em 2021, 58 vulnerabilidades de dia zero foram detectados em dispositivos de empresas como a Microsoft, Apple e Google — mais que o dobro do total de 2020, que foi de 25. Os dados são de um relatório de segurança virtual da equipe Project Zero do Google, especializada na identificação dessas falhas.
O considerável aumento, porém, não é proveniente da exploração dessas falhas por agentes maliciosos, mas sim das empresas fabricantes das soluções estarem informando para o público por meio de relatórios detalhados com frequência qualquer vulnerabilidade que encontram.
Além disso, o relatório da equipe especializada do Google também afirma que é possível que o número de vulnerabilidades de dia zero detectadas em 2021 seja maior que 58, mas que muitas não tiveram informações divulgadas — já que mesmo com as empresas melhorando o processo de comunicação dessas falhas, nunca se sabe se algumas ficaram guardadas internamente para evitar situações de pânico de usuários, por exemplo.
Somente duas vulnerabilidades de dia zero de 2021 eram totalmente novas
O relatório do Project Zero do Google também mostra que, das 58 falhas descobertas, apenas duas eram completamente novas — mas mesmo assim suficientemente preocupantes para os especialistas.
Uma dessas duas foi a primeira vulnerabilidade de dia zero de conhecimento público no macOS, que utiliza códigos sofisticados para instalar backdoors no computador do Apple. A outra é o exploit ForcedEntry do iPhone, utilizado para a instalação do aplicativo espião Pegasus, do grupo israelita NSO Group, no smartphone.
As demais vulnerabilidades detectadas eram ainda variações de falhas já detalhadas em outros períodos mas que ainda não foram corrigidas — como falhas que envolvem corrupção de memória de dispositivos, que por possíveis altos valores para serem arrumadas, acabam não sendo prioridades das empresas responsáveis pelos sistemas que elas estão presentes.
Fonte: Project Zero