2021, Chrome’daki saldırganların daha Google’ın haberi olmadan yararlandığı sıfır gün kusurlarının sayısı açısından rekor bir yıldı. Google siber saldırganlara karşı yarışı mı kaybediyor?
Buna göre Google Project Sıfırıncı gün takipçisigeçen yıl Chrome için 14, Safari’nin WebKit motoru için 6 ve Internet Explorer için 4 olmak üzere 25 tarayıcı güvenlik açığı düzeltildi.
2020’de tarayıcılarda, yarısından fazlası Chrome’da olmak üzere yalnızca 14 sıfır gün kusuru vardı. Ancak izleyici verilerine göre, 2015 ile 2018 arasında Chrome sıfır gün kusurlarından aktif olarak yararlanılmadı.
Daha az güvenlik açığı tespit edilmesi mutlaka yeterli değildir
Chrome güvenlik ekibinde teknik program yöneticisi olan Adrian Taylor, bir blog yazısında açıklıyor tarayıcılarda sıfır gün sayısındaki artışın “ilk bakışta endişe verici görünebileceğini” ve “bir eğilime işaret edebileceğini” söyledi. Ancak bunun iyi bir şey olabileceğini de savunuyor çünkü bu, daha fazla güvenlik açığının tespit edilip düzeltileceği anlamına geliyor.
Başka bir deyişle, sıfır gün verilerindeki eğilimleri yorumlamak karmaşıktır, çünkü yalnızca bilinen ve umarım düzeltilmiş kusurları içerir. Muhtemelen siber saldırganlar tarafından kullanılan keşfedilmemiş başkaları da vardır.
“2015 ile 2018 arasında Chromium tabanlı tarayıcılardan herhangi bir şekilde yararlanıldığına inanmıyoruz” dedi. “Aktif madenciliğe dair tam bir görüşe sahip olmadığımızın farkındayız ve o yıllarda sıfır gün tespit etmemiş olmamız, madenciliğin olmadığı anlamına gelmez. Mevcut veriler, örnekleme yanlılığından muzdariptir. »
Bu sonuç, Google’ın Tehdit Analizi Grubu’nun (TAG) geçen yıl yaptığı sonuca benzer: “Saldırganlar tarafından kullanılan sıfırıncı gün açıklarının sayısı ile sıfırıncı gün tespit edilen ve açıklananların sayısı arasında birebir bir ilişki yoktur” .
Yine de 2021’de keşfedilen çok sayıda sıfır gün açıkları var. Taylor bunun için dört neden sunuyor. Birincisi, tarayıcı üreticileri artık saldırganlar tarafından istismar edilen hatalar hakkında geçmişte olduğundan daha şeffaf. Satıcılara bir hatayı kamuya açıklamadan önce düzeltmeleri için 90 gün süre veren Google Project Zero, büyük yazılım satıcılarının bu davranışını normalleştirmeye yardımcı oldu.
Diğer bir faktör de 2015 ve 2016 yıllarında saldırganların ana hedefi olan Adobe Flash Player tarayıcı eklentisinin ortadan kalkması. Tarayıcı üreticileri ve Adobe, 31 Aralık 2020’de bu eklenti için desteği bıraktı.
Adrian Taylor, “Flash artık mevcut olmadığından, saldırganlar daha zor bir hedefe yönelmek zorunda kaldılar: tarayıcının kendisine,” diye yazıyor Adrian Taylor.
Buna, Brave, Opera, Vivaldi, vb. Tarafından kullanılan açık kaynaklı Chromium motorunun popülaritesi eklendi. Edge, Chrome kadar popüler olmasa da, Windows 10 ve Windows 11 ile birlikte gelir.
“Saldırganlar en popüler hedefin peşinden giderler. 2020’nin başlarında Edge, Chromium işleme motorunu kullanmaya başladı. Saldırganlar Chromium’da bir hata bulmayı başarırsa, artık daha büyük bir kullanıcı yüzdesine saldırabilirler” diyor Taylor.
Tarayıcılardaki sıfırıncı günlerdeki belirgin artışın bir başka nedeni, Chrome’un Site İzolasyonu gibi tarayıcıyı sertleştirme çabalarından dolayı, saldırganların bir tarayıcıyı gerçekten kullanmak için birden çok hatayı bir araya getirmeleri gerektiğidir. Saldırganlar bu nedenle aynı etkiyi elde etmek için daha fazla cephaneye ihtiyaç duyarlar.
“Aynı düzeyde saldırgan başarısı için, saldırganın üzerinde çalışması gereken daha fazla savunma katmanı ekledikçe, zaman içinde bildirilen vahşi doğada daha fazla hata görürdük” diye belirtiyor.
Son olarak, tarayıcılar çok geniştir ve şimdi neredeyse bir işletim sistemi kadar karmaşıktır.
Adrian Taylor, “Daha fazla karmaşıklık, daha fazla hata anlamına gelir” diyor.
Ayrıca, yazılım satıcılarının kusurları ne kadar hızlı düzelttiğine dair Project Zero’dan yakın zamanda yayınlanmış bir araştırmadan da alıntı yapıyor. Chrome, yamaları WebKit ve Firefox’tan daha hızlı yayar ve yayınlar.
Google, tüm satıcıları güvenlik sorunları için daha sık bir düzeltme kadansı uygulamaya teşvik eder. Örneğin Chrome, kararlı sürüm döngüsünü altı haftadan dört haftaya indirdi. Microsoft, Eylül ayında 94 sürümünün yayınlanmasından itibaren aynı döngüyü Edge için de uyguluyor.
Resim: Google.
Kaynak: ZDNet.com