alphabet-3349829_1280-1.jpg

Falhas de dia zero aumentam mais de 50% ao ano, diz Google

Da Redação
28/03/2024

O volume de vulnerabilidades de dia zero detectadas pelo Google aumentou mais de 50% de 2022 a 2023, em razão principalmente de falhas em componentes de terceiros. A gigante da tecnologia revelou as descobertas em sua revisão do ano de 2023, denominada “Estamos todos juntos nisso”, que combinou as descobertas de seu Grupo de Análise de Ameaças (TAG) e das equipes de pesquisa da Mandiant.

Os pesquisadores descobriram um total de 97 dias zero em 2023, pouco menos do recorde de 106 detectados em 2021. O relatório afirma que fornecedores de plataformas para usuário final como Apple, Google e Microsoft fizeram “investimentos notáveis” para reduzir o número de vulnerabilidades de dia zero exploráveis, tornando certos tipos “virtualmente inexistentes” atualmente.

No entanto, o mesmo não se aplica às tecnologias voltadas a empresas, segmento em que o Google observou um aumento anual de 64% de zero dias e um crescimento geral no número de fornecedores visados desde ao menos 2019. As equipes do TAG/Mandiant afirmam ter identificado um foco dos operadores de ameaças em software e dispositivos de segurança no ano passado.

“Do lado empresarial, vemos uma maior variedade de fornecedores e produtos visados, e um aumento na exploração de tecnologias específicas para empresas”, observa o relatório. “Ao longo dos anos, aprendemos que quanto mais rápido descobrirmos e corrigirmos os bugs, menor será a vida útil da exploração e mais custará aos invasores manter suas atividades. Nós, como indústria, devemos agora aprender como aproveitar essas lições aprendidas e aplicá-las ao ecossistema mais amplo de fornecedores que agora estão sob ataque.”

Veja isso
Anúncios que vendem exploração de dia zero crescem 70% ao ano
Dia zero no Roundcube é usado para hackear governos na Europa

Outras tendências verificadas pelo relatório incluem:

• Os invasores estão mudando o foco para componentes e bibliotecas de terceiros, já que “a exploração desse tipo de vulnerabilidade pode ser ampliada para afetar mais de um produto”;

• Os fornecedores de spyware comercial foram responsáveis por 75% dos dias zero direcionados a produtos do Google e dispositivos do ecossistema Android em 2023, e por 60% dos dias zero em navegadores e dispositivos móveis em geral;

• A China foi responsável pelo maior volume de exploração de dias zero, impulsionados por hackers ligados ao governo do que qualquer outro país em 2023. Foram 12 no total;

• Operadores de ameaças com motivação financeira foram responsáveis pela exploração de dez dias zero, menos do que o observado em 2022.

Acesse o relatório completo do programa “Estamos todos juntos nisso” (em inglês) no blog do Google clicando aqui.

Compartilhar: