Проект Google Zero известен тремя вещами: обнаружением самых опасных программных уязвимостей, нахождение новых уязвимостей каждый день и ультимативным требованием к разработчикам программного обеспечения закрывать эти уязвимости в течение 90 дней. После этого данные об уязвимостях публикуются. За это программу и её участников одни любят, другие ненавидят. Недавно Google рассказала немного о программе.

Даже самые крупные компании, такие как Microsoft, Apple или Intel, получают ультиматум от Google с требованием закрыть найденные баги в течение 90 дней. Если этого не произойдёт, через 90 дней информация будет опубликована, а это означает, что багами смогут воспользоваться злоумышленники. Компании могут воспользоваться помощью проекта Zero для выпуск патчей, сделать это самостоятельно или не делать нечего.

Каждый отчёт о багах содержит всю собранную в рамках проекта Zero информацию. Включая то, как уязвимость была обнаружена, а также демонстрацию её применения.

По данным на 30 июля, в проекте Zero было опубликовано 1585 отчётов о закрытых уязвимостях и 66 о незакрытых. 1411 из 1585 были опубликованы в пределах 90 дней, а 174 всего за 14 дней. Всего в двух случаях срок был превышен: с уязвимостями Spectre & Meltdown и task_t. Их применение даёт доступ к самой секретной информации из операционной системы.

В Google признают, что публикация отчётов до закрытия уязвимостей может нанести ущерб, но в этом и смысл. Такой подход заставляет компании поторапливаться, в противном случае многие из них не выпускали бы исправления подолгу.

В одном исследовании было рассмотрено более чем 4300 уязвимостей. Из них 15%-20% уязвимостей обнаруживаются независимыми исследователями как минимум два раза в год. На Android 14% уязвимостей находят во второй раз в течение 60 дней после первого и 20% в течение 90 дней. В браузере Chrome 13% уязвимостей повторно находят через 60 дней. Можно сказать, что срок в 90 дней со стороны Google является даже щедрым.

Уязвимости Spectre и Meltdown были самыми серьёзными в истории проекта Zero. Для них срок продлили с 90 дней до 216 дней, и всё же кое-какие подробности были опубликованы до широкой доступности патчей. Однако, использование этих уязвимостей оказалось слишком сложным и подобных случаев зафиксировано не было.

В Google считают, что публикация данных о небольшом количестве незакрытых уязвимостей никак не влияет на возможности хакеров по их использованию. Исследователи полагают, что стоимость превращения отчёта об уязвимости в возможность практической атаки слишком высока.

В проекте Zero не публикуются пошаговые инструкции по созданию эксплоитов. Там описывается только часть необходимых для этого данных. В Google считают, что если хакер может превратить эти данные в полноценный инструмента атаки, то он смог бы сделать это и без опубликованных данных вовсе. Исследование 2017 года показало, что в среднем время между обнаружением уязвимостей и созданием полнофункционального эксплоита составляет 22 дня.

Ещё проект Zero критикуют за публикацию отчётов после выпуска патчей. Между тем, эти патчи могут быть далеко не идеальными или эти же уязвимости могут применяться в других местах, для которых патчей нет. В Google считает, что это только на пользу разработчикам программного обеспечения, которые смогут лучше понять природу уязвимости. Хакеры же в любом случае исследуют эту уязвимость при помощи метода обратной инженерии патча.

Информация из проекта может использоваться разработчиками программного обеспечения для усиления защиты своих приложений и тестирования исправлений багов. В общем, в Google довольны процентом успеха проекта Zero и собираются продолжать в том же духе.