Rendkívül sok nulladik napi sérülékenységet fedeztek fel eddig az évben, és ezeket a támadók ki is használják kémprogramok építésére.
A Google kutatói szerint 2021 eddig rendkívül aktív volt, ami a nulladik napi sérülékenységeket illeti. Eddig 33 darab hasonló sérülékenységről szereztek tudomást a kutatók, ami 11-gyel több, mint az összes, 2020-ben felfedezett hiba. A tényleges nulladik napi sérülékenységek számáról csak találgathatunk, hiszen sok hasonló hibát nem is fednek fel.
Nulladik napinak azt a szoftveres sérülékenységet nevezzük, melyet akkor fedeznek fel vagy jobb esetben hoznak nyilvánosságra, amikor a gyártónak még nem sikerült ezt a hibát javítani. Ez azt jelenti, hogy a támadóknak van idejük gond nélkül kihasználni ezeket a szoftveres problémákat, hiszen a felhasználóknak kevés esélyük van védekezni ellenük – maximum lemondanak az adott hibát tartalmazó megoldás használatáról, amíg a javítást nem adja ki a gyártó.
A nulladik napi sérülékenységekkel kapcsolatos információk iránt elég magas a kereslet a feketepiacon, sok vállalat – közöttük vélhetően a hazai kémszoftver botrányban elhíresült Pegasus gyártója, az NSO is – ezekkel kereskedik. Nagyon sok ehhez hasonló kémprogram nem is egy állandó szoftver, hanem szolgáltatás. A vállalatok ezekhez a kémszolgáltatásokhoz gyűjtik a nulladik napi fenyegetettségeket, ezért nekik sok pénzt, akár dollármilliókat is megér egy ehhez hasonló hiba leírása.
A Pegasus kémszoftver készítője, az NSO például 650 ezer dollárt (198 millió forintot) kér 10 iPhone vagy 10 Androidos telefon lehallgatásáért, 5 Blackberry felhasználó már 500 ezer dollárba kerül.
A Google blogposztja szerint a nulladik napi sérülékenységek száma azért is nőtt meg, mert megnőtt irántuk a kereslet, sokkal több vállalat érdeklődik irántuk, és látja bennük a potenciált. Például a Google biztonsági csoportja által felfedezett négy nulladik napi sebezhetőségből hármat eladtak olyan vállalatoknak, akik kormányzati szervek használatára adták át azokat.
A négy darab Google által felfedezett nulladik napi sérülékenység a következő: CVE-2021-1879 Safariban, CVE-2021-21166 és CVE-2021-30551 Google Chrome böngészőben, és CVE-2021-33742 Internet Explorerben.
A Safari nulladik napi sebezhetőségét kihasználó támadók nyugat-európai kormányok vezető tisztségviselőit célzó LinkedIn üzenetekben a kártevőt tartalmazó weboldalra mutató linket is küldtek. Ha a célpont rákattintott a linkre egy iOS eszközről, akkor a fertőzött weboldal elindította a nulladik napi támadást, vagyis ellopták a böngészőben tárolt azonosítási adatokat. Az Apple március 26-án javította a hibát.
A két Chrome nulladik napi fenyegetést is ugyanazok a támadók használták fel, ebben az esetben emailben érkezett a káros weboldalra mutató link. Az Internet Explorer sérülékenységet örmény felhasználók ellen is bevetették, akiknek kártevőt tartalmazó Office dokumentumokat küldtek, a tartalmat a böngésző töltötte be. A Google szakértőinek becslése szerint a Chrome és Internet Explorer kártevőket ugyanaz a hackercsoport fejlesztette ki és adta el kormányzati szereplőknek.