Graças a melhorias nos mecanismos de segurança e mitigações, hackear telefones celulares tanto com iOS quanto com Android tornou-se um empreendimento caro. É por isso que as técnicas de hacking para aplicativos como o WhatsApp agora valem milhões de dólares.
Na semana passada, uma empresa russa que compra zero-days – falhas em software que são desconhecidas do desenvolvedor do produto afetado – ofereceu US$ 20 milhões por falhas que permitiriam a seus clientes, que a empresa disse serem “organizações privadas e governamentais russas”, para comprometer remotamente telefones com iOS e Android. Esse preço é provavelmente justificado, em parte, pelo fato de não haver muitos investigadores dispostos a trabalhar com a Rússia enquanto a invasão da Ucrânia continuar, e de os clientes do governo russo estarem provavelmente dispostos a pagar um prémio nas atuais circunstâncias.
Mas mesmo nos mercados fora da Rússia, inclusive apenas para falhas em aplicativos específicos, os preços subiram.
Documentos vazados vistos pelo TechCrunch mostram que, a partir de 2021, um zero-day que permite ao usuário comprometer o WhatsApp de um alvo no Android e ler o conteúdo das mensagens pode custar entre US$ 1,7 e US$ 8 milhões.
O WhatsApp tem sido um alvo popular para hackers governamentais, o tipo de grupo que tem maior probabilidade de usar o zero-day. Em 2019, pesquisadores flagraram clientes do polêmico fabricante de spyware NSO Group usando um zero-day para atingir usuários do WhatsApp. Pouco depois, o WhatsApp processou o fornecedor israelense de tecnologia de vigilância, acusando-o de abusar de sua plataforma para facilitar o uso do zero-day a seus clientes contra mais de mil usuários do WhatsApp.
Em 2021, de acordo com um dos documentos vazados, uma empresa vendia um “RCE zero click” no WhatsApp por cerca de US$ 1,7 milhão. RCE é um jargão usado em cybersecurity para execução remota de código, um tipo de falha que permite que hackers executem código remotamente no dispositivo do alvo. Ou neste caso, dentro do WhatsApp, permitindo monitorar, ler e extrair mensagens. “Zero Click” refere-se ao fato de que a exploração não requer interação do alvo, tornando-a mais furtiva e difícil de detectar.
O documento afirma que a exploração funcionou para as versões 9 a 11 do Android, lançadas em 2020, e que aproveitou uma falha na “biblioteca de renderização de imagens”. Em 2020 e 2021, o WhatsApp corrigiu três vulnerabilidades – CVE-2020-1890, CVE-2020-1910 e CVE-2021-24041 – que envolviam a forma como o aplicativo processa imagens. Não está claro se esses patches corrigiram as falhas subjacentes às explorações que estavam à venda em 2021.
O porta-voz do WhatsApp, Zade Alsawah, disse que a empresa se recusou a comentar.
O valor de visar especificamente o WhatsApp é que, por vezes, os hackers do governo – pense aqueles que trabalham para agências de inteligência ou de aplicação da lei – podem estar interessados apenas nas conversas de um alvo no WhatsApp, para que não precisem de comprometer todo o telefone. Mas uma exploração apenas no WhatsApp também pode fazer parte de uma cadeia para comprometer ainda mais o dispositivo do alvo.
“Os compradores de exploits estão interessados nos exploits pelo que eles permitem: espionar seus alvos”, disse um pesquisador de segurança com conhecimento do mercado, que pediu para permanecer anônimo para discutir questões delicadas. “Se o exploit que compram não lhes dá tudo o que desejam, eles precisam comprar várias peças e combiná-las.”
Comentários