De FBI heeft voor het eerst erkend dat het gebruik maakt van zero-day-kwetsbaarheden om mensen online te kunnen volgen. Het is volgens een topvrouw van de Amerikaanse dienst geen favoriete methode, omdat het niet langdurig werkt.
Een hacktool op basis van een zero-day-kwetsbaarheid stopt met werken, zodra de softwaremaker een patch uitbrengt en de gebruiker die de FBI in de gaten wil houden die installeert, zegt topvrouw Amy Hess in een interview met de Amerikaanse krant Washington Post. Daarmee is het volgens haar minder betrouwbaar dan een traditionele tap.
Bovendien worstelt de Amerikaanse dienst met de ethiek van het gebruik van zero-day-kwetsbaarheden. De balans tussen het kunnen volgen van verdachten en het melden van kwetsbaarheden aan softwaremakers zodat zij hun producten veiliger kunnen maken is belangrijk, zegt Hess. "Hoe brengen we dat in balans? Dat is een constante uitdaging voor ons."
Het is al langer bekend dat overheidsdiensten veel interesse hebben in zero-day-kwetsbaarheden, lekken in software die bij de maker van die software nog niet bekend zijn. Overheidsdiensten bieden hackers veel geld voor het delen van details daarover, omdat het bij goed beveiligde en gepatchte systemen een zeldzame mogelijkheid biedt om binnen te dringen. De FBI is de federale politiedienst van de Verenigde Staten, maar is geen inlichtingendienst zoals de NSA.