Google的最新研究表明，去年現實世界網路攻擊中大多數零日漏洞都是由政府駭客發起的。 Google的報告稱，零時差漏洞（指駭客利用時軟體製造商未知的安全漏洞）的數量已從2023 年的98 個下降到2024 年的75 個。但報告指出，在Google可以歸因的零日漏洞比例中（即確定負責利用這些漏洞的駭客），至少有23 個零日漏洞與政府支持的駭客有關。

在這23 個漏洞中，有10 個零日漏洞被認為是直接為政府工作的駭客所為，其中5 個漏洞與中國有關，另外5 個漏洞與北韓有關。 

另外八個漏洞被確認是由間諜軟體製造商和監控服務商開發的，例如NSO Group，這些公司通常聲稱只向政府出售軟體。在這八個由間諜軟體公司開發的漏洞中，Google也統計了塞爾維亞當局最近使用Cellebrite 手機解鎖裝置利用的漏洞。

圖表顯示了2024 年發現的零日漏洞。 （圖：Google）

儘管有記錄顯示有8 起間諜軟體製造商開發的零日漏洞案例，但Google威脅情報組(GTIG) 的安全工程師Clément Lecigne 表示，這些公司「正在投入更多資源用於營運安全，以防止其能力暴露，避免成為新聞焦點」。 ，且監控供應商的數量還在增加。 

GTIG 首席分析師詹姆斯·薩多夫斯基(James Sadowski) 介紹說：“在執法行動或公開披露導致供應商停業的情況下，我們看到新的供應商出現並提供類似的服務。只要政府客戶繼續請求並支付這些服務，這個行業就會持續增長。” 

其餘11 個歸因零日漏洞很可能被網路犯罪分子利用，例如針對企業設備（包括VPN 和路由器）的勒索軟體業者。 

報告還發現，2024 年利用的75 個零日漏洞中，大多數針對的是消費平台和產品，例如手機和瀏覽器；其餘漏洞則針對通常在公司網路上發現的設備。

好消息是，軟體製造商正在防禦零時差攻擊，讓漏洞製造者更難以找到漏洞。報告稱：“我們發現針對瀏覽器和行動作業系統等一些歷史上流行的目標的零日攻擊利用明顯減少。”

薩多夫斯基特別提到了鎖定模式，這是iOS 和macOS 的一項特殊功能，可以禁用某些功能，目的是增強手機和電腦的安全性，該功能在阻止政府黑客方面有著良好的記錄 ，此外，內存標記擴展(MTE) 也是現代谷歌 Pixel 芯片組的一項安全功能，有助於檢測某些類型的錯誤並提高設備安全性。 

像Google這樣的報告很有價值，因為它們為業界和觀察員提供了數據點，有助於我們了解政府駭客的運作方式——即使統計零日漏洞的一個固有挑戰是，從本質上講，有些漏洞無法檢測到，而即使檢測到，也有一些漏洞無法歸因。