Google: softwareontwikkelaars maken zeroday-aanvallen niet lastig genoeg

Vorig jaar telde Google een recordaantal zerodaylekken waar actief misbruik van werd gemaakt. En hoewel detectie en bekendmaking van dergelijke kwetsbaarheden beter wordt doen softwareontwikkelaars volgens Google nog te weinig om het vinden en gebruiken van zerodays lastig te maken. Zerodays zijn kwetsbaarheden waar actief misbruik van wordt gemaakt en waarvoor nog geen beveiligingsupdate beschikbaar is.

In totaal noteerde Google vorig jaar 58 zerodays in verschillende producten, waaronder het eigen Android en Chrome, maar ook iOS en Safari. Van de beveiligingslekken waren er 39, oftewel 67 procent, memory corruption kwetsbaarheden. Dergelijke kwetsbaarheden zijn al decennia de standaard voor het aanvallen van software en zijn nog steeds manier waarop aanvallers succes hebben. Het gaat dan om type kwetsbaarheden als use-after-free, buffer overflows en integer overflows.

“Als industrie maken we zerodays niet lastig”, zegt Maddie Stone van Google. Aanvallers hebben volgens haar nog steeds succes met dezelfde soort kwetsbaarheden die eerder zijn gebruikt en in onderdelen die eerder als aanvalsoppervlak zijn besproken. Volgens Stone moet het doel zijn dat aanvallers elke keer dat er een zeroday-exploit wordt ontdekt helemaal opnieuw moeten beginnen. Iets wat nog altijd niet het geval is.

Daarnaast vermoedt Stone dat er softwareleveranciers zijn die verzwijgen dat er misbruik van een zerodaylek in hun software wordt gemaakt. “Totdat we zeker zijn dat alle leveranciers actief misbruik melden, blijft het een grote vraag hoeveel actief misbruikte zerodaylekken zijn ontdekt, maar niet door leveranciers zo worden genoemd.”

Verder stelt Stone dat de meeste mensen zich geen zorgen hoeven te maken dat ze zelf het doelwit van een zeroday-aanval worden, maar dat dergelijke aanvallen ons uiteindelijk allemaal raken. “Deze zerodays hebben een grote impact op de samenleving en we moeten dus blijven doen wat we kunnen om het lastiger voor aanvallers te maken met deze aanvallen succesvol te zijn.” Eerder berichtte Security.NL in dit achtergrondartikel dat er vorig jaar een recordaantal zerodaylekken is waargenomen.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl