Total de falhas críticas descobertas até agora em 2021 quase dobrou
Por Felipe Demartini | Editado por Claudio Yuge | 15 de Setembro de 2021 às 13h00
2021 tem tudo para terminar como um dos anos mais tensos quando o assunto é a cibersegurança e os números do Google são mais uma evidência disso. Até o início de setembro deste ano, o Projeto Zero da empresa já havia retratado 44 vulnerabilidades que, até então, eram desconhecidas dos desenvolvedores de software, e tem tudo para fechar este período com mais do que o dobro dos alertas em relação a 2020.
- Google corrige novas falhas críticas de segurança no Chrome
- Brasil registra 16,2 bilhões de tentativas de ciberataques no 1º semestre
- REvil | Gangue de ransomware volta à ativa e fala em erro na liberação de chaves
Já temos, por exemplo, um aumento de 76% no número de incidentes reportados, já que o total do ano passado foi de 25 vulnerabilidades. O crescimento também mostra uma tendência de aumento a cada período que vem se solidificando desde 2018, ano em que o Projeto Zero apresentou um dos menores totais de sua história, com apenas 13 vulnerabilidades descobertas e reveladas ao público.
Em 2021, o navegador Google Chrome e o Windows estão empatados como os softwares com maior número de incidentes reportados — a plataforma da Microsoft se torna o maior caso seja considerada, também, uma falha reportada no Defender, seu sistema de segurança. Das 44 falhas que já foram relatadas pelo projeto, 30 envolvem algum tipo de corrupção de memória, com valores sendo escritos ou executados fora dos limites adequados, permitindo, assim, que malwares sejam rodados à distância ou abrindo o acesso a terceiros sem autorização.
Também aparecem com importância considerável nos números do Projeto Zero os sistemas operacionais Android, com cinco brechas, e iOS, com três, incluindo uma recente que poderia permitir a espionagem governamental a partir dos softwares de vigilância ostensiva do grupo israelense NSO, que desenvolve o Pegasus. Destaque, ainda, para o motor de renderização WebKit, com sete falhas na lista do Google e presença em todos os navegadores disponíveis para os dispositivos da Apple, além de aparecer no Chrome e Opera em versões modificadas.
Bandidos buscam falhas críticas como novas alternativas de ataque
As falhas do tipo zero day recebem esse nome pela ideia de que os desenvolvedores possuem “zero dias” para trabalhar e lançar uma atualização que resolva a abertura. Do contrário, não há nada que os usuários possam fazer para evitar sofrerem ciberataques — em muitos casos, os relatos de brechas desse tipo também acompanham a ideia de que as explorações maliciosas já estão acontecendo.
Apesar disso, ajuda o fato de que usuários comuns não costumam ser o alvo de ataques sofisticados dessa categoria, enquanto pode ser necessária uma combinação deles para que um atacante possa, por exemplo, assumir o controle de um smartphone ou computador. Segundo Maddie Stone, pesquisadora de segurança do Projeto Zero, a maior preocupação para os cidadãos devem ser os vazamentos de dados pessoais a partir dos sistemas de empresas privadas — essas sim, mais sujeitas a serem atingidas pelas aberturas reportadas.
Stone inclusive aponta um dado irônico: o aumento no número de vulnerabilidades zero day é reflexo da ampliação da preocupação com a segurança, com os criminosos precisando buscar novas alternativas diante de uma queda na efetividade de golpes antigos. Assim, a recomendação a todos, desde gigantescas corporações até usuários, é para que mantenham softwares, sistemas operacionais e dispositivos sempre atualizados, já que a ausência desse tipo de manutenção é justamente o que abre as portas para os bandidos nos ataques mais comuns.
Fonte: NBC News