Rendkívül sok nulladik napi sérülékenységet fedeztek fel eddig az idén, és ezeket a támadók ki is használják kémprogramok építésére. A Google kutatói szerint 2021 eddig rendkívül aktívnak számítanak a nulladik napi sérülékenységeket okozók. A kutatók mostanáig 33 hasonló sérülékenységről szereztek tudomást, éppen harmadával többet, mint a 2020-ben felfedezett összes hiba volt. Egébként a tényleges nulladik napi sérülékenységek számáról csak találgathatunk, hiszen sok hasonló hibát nem is fednek fel.
Nulladik napinak azt a szoftveres sérülékenységet nevezzük, melyet akkor fedeznek fel vagy jobb esetben hoznak nyilvánosságra, amikor a gyártónak még nem sikerült ezt a hibát megszüntetni. A támadóknak tehát van idejük gond nélkül kihasználni a szoftveres problémákat, hiszen a használóknak jóformán semmi esélyük a védekezésre – legföljebb lemondanak az adott hibát tartalmazó megoldás használatáról, amíg a javítást nem adja ki a gyártó.
A nulladik napi sérülékenységekkel kapcsolatos információk iránt nagy a kereslet a feketepiacon, sok vállalat – közöttük vélhetően a hazai kémszoftver-botrányban elhíresült Pegasus gyártója, az NSO is – ezekkel kereskedik. Nagyon sok ehhez hasonló kémprogram nem is egy állandó szoftver, hanem szolgáltatás. A vállalatok ezekhez a kémszolgáltatásokhoz gyűjtik a nulladik napi fenyegetettségeket, ezért nekik sok pénzt, akár dollármilliókat is megér egy ehhez hasonló hiba leírása.
A Pegasus kémszoftver készítője, az NSO például 650 ezer dollárt (198 millió forintot) kér 10 iPhone vagy 10 Androidos telefon lehallgatásáért, 5 Blackberry-használó már 500 ezer dollárba kerül.
A Google blogposztja szerint a nulladik napi sérülékenységek száma azért is nőtt meg, a kereslet nőt, az eddiginél sokkal több vállalat érdeklődik irántuk, és látja bennük a potenciált. Például a Google biztonsági csoportja által felfedezett négy, nulladik napi sebezhetőségből hármat eladtak olyan vállalatoknak, amelyek kormányzati szervek használatára továbbították őket.
A Google által felfedezett négy, nulladik napi sérülékenység a következő: CVE-2021-1879 Safariban, CVE-2021-21166 és CVE-2021-30551 Google Chrome böngészőben, és CVE-2021-33742 Internet Explorerben.
A Safari nulladik napi sebezhetőségét kihasználó támadók nyugat-európai kormányok vezető tisztségviselőit célzó Linkedin üzenetekben a kártevőt tartalmazó weboldalra mutató linket is küldtek. Ha a célpont rákattintott a linkre egy iOS eszközről, akkor a fertőzött weboldal elindította a nulladik napi támadást, vagyis ellopták a böngészőben tárolt azonosítási adatokat. Az Apple március 26-án megszüntette a hibát.
A két Chrome nulladik napi fenyegetést is ugyanazok a támadók használták fel, ebben az esetben emailben érkezett a káros weboldalra mutató link. Az Internet Explorer sérülékenységet örmény használók ellen is bevetették: nekik kártevőt tartalmazó Office-dokumentumokat küldtek, a tartalmat a böngésző töltötte be. A Google szakértőinek becslése szerint a Chrome- és Internet Explorer-kártevőket ugyanaz a hackercsoport fejlesztette ki és adta el kormányzati szereplőknek.