Project Zero è un team di ricercatori di sicurezza di Google, formato nel 2014, che studia le vulnerabilità zero-day nei sistemi hardware e software più popolari, usati dagli utenti di tutto il mondo.
Per contestualizzare i progressi dell’ecosistema, il team di recente ha esaminato l’insieme di vulnerabilità che Project Zero ha segnalato e come una serie di fornitori ha risposto ad esse.
Poi, ha cercato di identificare le tendenze in questi dati, come ad esempio: se e come l’intero settore stia patchando le vulnerabilità in modo più veloce.
In particolare, il team di ricercatori di sicurezza di Google ha analizzato i bug risolti che sono stati segnalati tra gennaio 2019 e dicembre 2021.
Tra il 2019 e il 2021, Project Zero ha segnalato 376 problemi ai vendor entro la sua scadenza standard di 90 giorni.
Di questi bug, 351 (93,4%) sono stati risolti, mentre 14 (3,7%) sono stati contrassegnati come WontFix dai fornitori. Altri 11 (2,9%) bug rimangono non risolti, anche se al momento del report hanno superato la scadenza. I restanti tre sono ancora entro la scadenza per il fix.
La maggior parte delle vulnerabilità di sicurezza sono raggruppate tra pochi fornitori, con 96 bug (26%) segnalati a Microsoft, 85 (23%) a Apple e 60 (16%) a Google.
Una volta che un vendor riceve una segnalazione di bug – ha specificato il team di Project Zero –, ha 90 giorni di tempo per risolverlo e distribuire una versione corretta al pubblico.
Il fornitore può anche richiedere un grace period di 14 giorni se conferma di voler rilasciare la correzione entro la fine dei 104 giorni totali.
Nel complesso, i dati mostrano che quasi tutti i grandi vendor arrivano in media sotto i 90 giorni. Il grosso delle correzioni durante il grace period viene da Apple e Microsoft (22 su 34 totali).
I vendor hanno superato la scadenza e il grace period circa il 5% delle volte in questo lasso di tempo.
Oracle ha la percentuale più alta in questo segmento, ma il team di Google sottolinea che ha un campione relativamente piccolo di soli sette bug.
Tra i vendor che hanno superato il termine, il secondo tasso più alto è quello di Microsoft, con quattro delle sue 80 scadenze.
Nel periodo considerato, il tempo medio per risolvere i bug tra tutti i fornitori è di 61 giorni.
Per lo specifico del 2021, i fornitori hanno impiegato una media di 52 giorni per correggere le vulnerabilità di sicurezza segnalate dal team di Google.
Si tratta – sottolinea Project Zero – di un aumento di velocità significativo rispetto alla media di circa 80 giorni di tre anni fa.
Oltre alla media che ora è ben al di sotto della scadenza dei 90 giorni, Project Zero ha anche registrato un calo dei fornitori che non hanno rispettato la scadenza (o il grace period aggiuntivo).
Nel 2021, solo un bug ha superato la sua scadenza, anche se il 14% dei bug ha richiesto il grace period.
Per quanto riguarda i sistemi operativi mobili, può sembrare che iOS abbia ricevuto molte più segnalazioni di bug da Project Zero rispetto a qualsiasi versione di Android, nel periodo preso in esame.
Tuttavia – mette in evidenza il team di Google –, piuttosto che uno squilibrio nella selezione del target di ricerca, è più un riflesso di come Apple distribuisce il software.
Gli aggiornamenti di sicurezza per app come iMessage, FaceTime e Safari/WebKit sono tutti distribuiti come parte degli update del sistema operativo, quindi Project Zero li include nell’analisi dell’OS.
D’altra parte, gli aggiornamenti di sicurezza per le app indipendenti su Android avvengono attraverso il Google Play Store, quindi non sono inclusi in questa analisi.
Per ciò che concerne i browser, Chrome è attualmente il più veloce dei tre principali, con un tempo dalla segnalazione di un bug al rilascio di una correzione nel canale stabile di 30 giorni.
Firefox è secondo in questa analisi, anche se con un numero relativamente piccolo di data point da analizzare, sottolinea il team di Google. Firefox rilascia una correzione in media in 38 giorni.
WebKit presenta il tempo più elevato per rilasciare una patch: 73 giorni.
