Googlen Project Zero-kyberturvallisuusryhmä havaitsi ennätykselliset 58 nollapäivähaavoittuvuutta vuoden 2021 aikana, selviää ryhmän tiistaina julkaisemasta tiedotteesta.

Nollapäivähaavoittuvuudella tarkoitetaan tietoturva-aukkoa, joka on ollut ”piilossa” eikä siihen ole saatavilla korjausta. Haavoittuvuus on saattanut olla olemassa jopa useampia vuosia, ja hakkerit ovat saattaneet hyödyntää sitä ilman, että ohjelman kehittäjät olisivat siitä tietäneet. 

Project Zero on etsinyt nollapäivähaavoittuvuuksia vuodesta 2014 lähtien. Edellinen ennätys oli vuodelta 2015, jolloin nollapäivähaavoittuvuuksia havaittiin ja ilmoitettiin yhteensä 28 kappaletta. Vuonna 2020 ryhmä ilmoitti 25 havaittua nollapäivähaavoittuvuutta. 

Löytyneiden ja paljastetuiden nollapäivähaavoittuvuuksien yli kaksinkertaistunut määrä voisi johtua räjähdysmäisesti lisääntyneestä kyberrikollisuudesta. Project Zero uskoo kuitenkin, että syynä on todennäköisemmin kehitys nollapäivähaavoittuvuuksien havaitsemisissa ja raportoinneissa.

Vielä vuonna 2020 vain viisi yritystä ilmoitti oman tuotteensa nollapäivähaavoittuvuudesta, mutta vuonna 2021 ilmoituksia tuli jopa 17 kappaletta. Google havaitsi ja ilmoitti seitsemän omista tuotteistaan löytyvää nollapäivähaavoittuvuutta ja Microsoft kymmenen nollapäivähaavoittuvuutta.

Monet yritykset ovat myös parantaneet raportointiaan. Esimerkiksi Apple ja Googlen Android aloittivat jakamaan marraskuusta 2020 ja tammikuusta 2021 lähtien turvallisuustiedotteita, joissa ne kertovat laajemmin haavoittuvuuksistaan ja niiden mahdollisista hyväksikäytöistä.

Project Zero toivoo silti, että yhä useammat yritykset ilmoittaisivat löytämistään haavoittuvuuksistaan. Ryhmän mukaan on hyvin todennäköistä, että vuoden 2021 aikana havaittiin ilmoitettua enemmän nollapäivähaavoittuvuuksia.