Segundo informações do TechCrunch, as falhas zero-day para hackear o WhatsApp agora valem milhões de dólares.
Graças a melhorias nos mecanismos de segurança e mitigações, hackear telefones celulares – tanto com iOS quanto com Android – tornou-se um empreendimento caro.
É por isso que as técnicas de hacking para aplicativos como o WhatsApp agora valem milhões de dólares, segundo descobriu o TechCrunch.
Falhas zero-day para hackear o WhatsApp agora valem milhões
Na semana passada, uma empresa russa que compra zero-days – falhas em software que são desconhecidas pelo desenvolvedor do produto afetado – ofereceu US$ 20 milhões por cadeias de bugs que permitiriam a seus clientes, que a empresa disse serem “apenas organizações privadas e governamentais russas”, para comprometer remotamente telefones com iOS e Android.
Esse preço é provavelmente causado, em parte, pelo fato de não haver muitos investigadores dispostos a trabalhar com a Rússia enquanto a invasão da Ucrânia continuar, e de os clientes do governo russo estarem provavelmente dispostos a pagar um prêmio nas atuais circunstâncias.
Mas mesmo nos mercados fora da Rússia, inclusive apenas para bugs em aplicativos específicos, os preços subiram.
Documentos vazados vistos pelo TechCrunch mostram que, a partir de 2021, um dia zero que permite ao usuário comprometer o WhatsApp de um alvo no Android e ler o conteúdo das mensagens pode custar entre US$ 1,7 e US$ 8 milhões.
“Eles dispararam”, disse um pesquisador de segurança que conhece o mercado, e pediu para permanecer anônimo porque não estava autorizado a falar com a imprensa.
O WhatsApp tem sido um alvo popular para hackers governamentais, o tipo de grupo que tem maior probabilidade de usar o dia zero. Em 2019, pesquisadores flagraram clientes do polêmico fabricante de spyware NSO Group usando um dia zero para atingir usuários do WhatsApp.
Pouco depois, o WhatsApp processou o fornecedor israelense de tecnologia de vigilância, acusando-o de abusar de sua plataforma para facilitar o uso do dia zero a seus clientes contra mais de mil usuários do WhatsApp.
Em 2021, de acordo com um dos documentos vazados, uma empresa vendia um “RCE zero clique” no WhatsApp por cerca de US$ 1,7 milhão.
RCE é um jargão de segurança cibernética para execução remota de código, um tipo de falha que permite que hackers mal-intencionados executem código remotamente no dispositivo do alvo. Ou neste caso, dentro do WhatsApp, permitindo monitorar, ler e exfiltrar mensagens.
“Clique zero” refere-se ao fato de que a exploração não requer interação do alvo, tornando-a mais furtiva e difícil de detectar.
O documento afirma que a exploração funcionou para as versões 9 a 11 do Android, lançadas em 2020, e que aproveitou uma falha na “biblioteca de renderização de imagens”.
Em 2020 e 2021, o WhatsApp corrigiu três vulnerabilidades – CVE-2020-1890, CVE-2020-1910 e CVE-2021-24041 – que envolviam a forma como o aplicativo processa imagens. Não está claro se esses patches corrigiram as falhas subjacentes às explorações que estavam à venda em 2021.
O porta-voz do WhatsApp, Zade Alsawah, disse que a empresa se recusou a comentar.
O valor de visar especificamente o WhatsApp é que, por vezes, os hackers do governo – pense aqueles que trabalham para agências de inteligência ou de aplicação da lei – podem estar interessados apenas nas conversas de um alvo no WhatsApp, para que não precisem de comprometer todo o telefone.
Mas uma exploração apenas no WhatsApp também pode fazer parte de uma cadeia para comprometer ainda mais o dispositivo do alvo.
“Os compradores de exploits estão interessados nos exploits pelo que eles permitem: espionar seus alvos”, disse um pesquisador de segurança com conhecimento do mercado, que pediu para permanecer anônimo para discutir questões delicadas.
“Se o exploit que compram não lhes dá tudo o que desejam, eles precisam comprar várias peças e combiná-las.”