谷歌跟踪150个漏洞后称：黑客只需稍微修改代码就能继续攻击 _漏洞

2018 年 12 月，谷歌的研究人员发现一群黑客正瞄准微软的 IE 浏览器。尽管两年前就不再进行新的开发了， IE 也只是一个普通的浏览器，但如果你能找到一种方法破解它，你就有可能打开通向数十亿台电脑的大门。
黑客们在寻找并发现以前未知的漏洞，也就是所谓的零日漏洞。

文章插图

在这些漏洞被发现后不久，研究人员发现还有一个漏洞正在野生环境中使用。微软发布了一个补丁以修复这个漏洞。2019 年 9 月，同一黑客组织又发现了另一个类似漏洞。
2019 年 11 月、2020 年 1 月和 2020 年 4 月黑客组织又发现了更多漏洞，在短时间内至少有 5 个零日漏洞被利用。微软发布了多个安全更新：一些未能真正修复的漏洞受到攻击，而另一些只需要稍加修改的漏洞，只需修改黑客的代码一到两行，就可以让漏洞再次影响系统运行。

文章插图

这个传奇意味着网络安全中一个更为严峻的问题，谷歌安全研究员麦迪·斯通的最新研究表明，由于公司在永久关闭缺陷和漏洞上的不足，黑客极容易利用零日漏洞来实施攻击。
斯通是谷歌安全团队 Project Zero 的一员，她的研究重点是关注多个正在发生的例子，包括谷歌自身在其广受欢迎的 Chrome 浏览器上所遇到的问题。
近日，斯通在安全会议 Enigma 上说， “现在整个行业的情况是这样的：不完整的补丁使得黑客更容易攻击使用零日漏洞的用户，我们并不需要黑客提出所有新的漏洞类别，开发全新的运行方式，也不需要研究从未研究过的代码；允许重新使用许多已知的不同漏洞。”
唾手可得的果实运作于谷歌内部的 Project Zero 是一个独特的、有争议的团队，它全心致力于寻找神秘的零日漏洞。所有黑客都对这些漏洞梦寐以求，而且它们比以往任何时候都更加珍贵——不是因为它们越来越难以开发，而是因为在我们这个超连接的世界里，它们越来越强大。
在六年的生命周期中，谷歌的团队公开跟踪了 150 多个主要零日漏洞，到 2020 年，斯通的团队记录了 24 个被利用的零日漏洞——其中四分之一与之前披露的漏洞极为相似。其中三个漏洞没有完全修复，这意味着黑客只需稍微修改一下代码，就能继续进行攻击。她说，许多这类攻击涉及基本的错误和“唾手可得的果实” 。
斯通表示，对于黑客来说， “这并不难，一旦你理解了其中的一个漏洞，你就可以只修改几行代码，就能使零日漏洞继续起作用。”
为什么它们没有被修复？大多数在软件公司工作的安全团队时间和资源有限，她认为，如果他们的优先级和激励机制都有缺陷，他们只会检查他们面前已经解决了的明确漏洞，而不是解决更大的问题——而这正是许多漏洞的根源。
其他研究人员证实这是一个普遍的问题。
约翰·辛普森是 Trend Micro 网络安全公司的漏洞研究员，其表示：“最坏的情况是，我发现有一些零日漏洞是因为供应商只解决了一部分代码，相同类型的漏洞仍然存在，但他们没有费心去修复它。我们可以为此争得面红耳赤，但如果组织没有正确的结构来做更多的事情，而只是修复报告给他们的错误，你就会得到质量泛泛的漏洞补丁。”
要改变这一点，很大程度上取决于时间和金钱：给工程师更多的空间来调查新的安全漏洞，找到根本原因，并修复经常在单个漏洞中出现的更深层次的问题。斯通表示：工程师们还可以完成不同的分析，在不同的地方寻找相同的漏洞，或者在相同的代码块中寻找其他漏洞。
其他情况一些公司已经在尝试不同的方法。例如，苹果公司通过在更深层次上根除漏洞，成功地解决了 iphone 的一些最严重的安全风险。
2019 年，谷歌 Project Zero 的另一名研究员娜塔莉·西尔瓦诺维奇上了头条，因为她提出了苹果 iMessage 中关键的零点击、零日漏洞。这些漏洞使得黑客可以在不要求受害者做任何事情的情况下接管一个人的整个手机——即使你没有点击一个链接，你的手机仍然可能被黑客控制。2020 年 12 月，一项新的研究发现，一场针对采访人员的黑客运动中衍生出了另一种针对 iMessage 的零点击零日漏洞攻击。