Foi identificado um esquema para atacar dispositivos com iOS, Android e Windows que esteve ativo entre fevereiro e outubro de 2020. Os ataques partiram da injeção de código malicioso em sites web, usados depois para entrar nos dispositivos e explorar falhas de segurança. Nestes nove meses, os atacantes conseguiram identificar e tirar partido de 11 vulnerabilidades de dia-zero, falhas de segurança desconhecidas e sem correção disponível. 

O esquema foi descoberto pela equipa do Projet Zero, um grupo da Google especializado na busca e deteção de vulnerabilidades de segurança em diferentes plataformas. O grupo conseguiu identificar mais de duas dezenas de sites redirecionados para servidores programados para explorar vulnerabilidades em dispositivos  Windows e Android, numa primeira fase, e também iOS, num segundo momento (em outubro). 

O grupo sublinha que os atacantes tinham um conhecimento aprofundado dos sistemas envolvidos a ponto de conseguirem contornar os mecanismos de segurança “ de sistemas operativos e aplicações bem blindados e totalmente atualizados”. O sucesso do esquema deve-se à capacidade de tirar partido de múltiplas falhas em simultâneo, com técnicas que vão desarmando as “defesas” dos sistemas.   

Em fevereiro os especialistas do Projet Zero já tinham detetado o esquema, que na altura estava a tirar partido de quatro falhas de segurança completamente desconhecidas, numa vantagem clara para os atacantes, que podem criar malware para as explorar, antes de chegarem as correções. 

Em outubro, verificaram que os autores do esquema tinham voltado à carga, com o mesmo modelo, conseguindo tirar partido de mais sete falhas de segurança antes de serem descobertos. No relatório que o Projet Zero divulgou sublinha-se que não há garantias de o ataque só visar estes três sistemas operativos, já que estes foram os únicos testados.