Google Project Zero, va qualificar el 2021 com un “any rècord per a in-the-wild 0-days”, ja que es van detectar i revelar 58 vulnerabilitats de seguretat durant el transcurs de l’any. El desenvolupament marca més d’un doble des del màxim anterior quan es van fer un seguiment de 28 exploits del 0-day el 2015. En canvi, només es van detectar 25 exploits del 0-day el 2020.

“El gran augment en in-the-wild 0-days el 2021 es deu a l’augment de la detecció i divulgació d’aquests 0-days, en lloc d’un augment de l’ús d’exploits de 0-days”, va dir Maddie Stone, investigadora de seguretat del Projecte Zero de Google. “Els atacants estan tenint èxit utilitzant els mateixos patrons d’errors i tècniques d’explotació i anant darrere de les mateixes superfícies d’atac”, va afegir Stone.

L’equip de seguretat intern del gegant tecnològic va caracteritzar les vulnerabilitats com a similars a vulnerabilitats anteriors i publicades, amb només dues d’elles marcadament diferents per a la sofisticació tècnica i l’ús d’errors lògics per escapar de la “Caixa de sorra”.

Tots dos es refereixen a FORCEDENTRY, una explotació d’iMessage de zero clics atribuïda a l’empresa israeliana de vigilància NSO Group. “L’explotació va ser una obra d’art impressionant”, va dir Stone.

L’escapament de l’espai aïllat és “notable per fer servir només errors lògics”, van explicar els investigadors de Google Project Zero Ian Beer i Samuel Groß el mes passat. “El menjar per emportar més cridaner és la profunditat de la superfície d’atac assolible des del qual esperem que sigui una “caixa de sorra” bastant restringida”.