Poți să iei un milion de dolari dacă spargi WhatsApp

Dacă un spion al guvernului sau serviciile secrete au nevoie de ajutor să intercepteze convorbirile unui terorist sau criminal folosind aplicații precum WhatsApp sau iMessage, vor scoate din buzunare mai mulți bani ca niciodată.

Zerodium, o companie care cumpără și vinde unelte de hacking și exploit-uri către guvernele din toată lumea, a anunțat creșteri de prețuri pentru aproape orice caută, cum ar fi spargerea sistemului iOS sau exploit-uri pentru Windows. Au spus că vor plăti cercetătorilor în securitate un milion de dolari pentru spargerea WhatsApp, iMessage și aplicațiilor pentru SMS/MMS din toate sistemele mobile de operare.

„În general, aplicațiile de mesagerie și în special WhatsApp sunt câteodată singurele canele de comunicare folosite de ținte, iar criptarea end-to-end îngreunează interceptarea conversațiilor de către clienții guvernului”, a spus fondatorul Zerodium, Chaouki Bekrar, pentru Motherboard într-o convorbire online. „Să compromiți direct de la distanță aceste aplicații, fără să distrugi telefonul, este o tehnică mult mai eficientă.”

Compromiterea iPhone-ului, cunoscută ca jailbreaking de la distanță sau root-area telefonului, poate costa două milioane de dolari sau mai mult și implică de obicei o serie de bug-uri și exploit-uri.

Creșterea prețurilor arată că dispozitivele mobile devin din ce în ce mai securizate și mai greu de spart. Asta înseamnă că e mai dificil pentru hackeri și poliție să intre în device-urile cu iOS și Android. Asta îngreunează și munca celor de la agențiile de spionaj și poliție. Aici intervin companiile ca Zerodium, cum ar fi Azimuth și Crowfense: acționează ca intermediar între cercetătorii în securitate cibernetică și agențiile guvernamentale care caută metode - adesea numite zero-day - ca să spargă device-urile țintelor.

Ieri, Zerodium erau dispuși să plătească cinci sute de mii de dolari pentru exploit-uri pentru WhatsApp și iMessage, conform unei versiuni arhivate a site-ului companiei. Prețurile noi corespund pieței, spune Maor Shwartz, fost patron de companie care achiziționa și vindea exploit-uri agențiilor guvernamentale.

Într-un interviu din decembrie anul trecut, Shwartz a spus pentru Motherboard că exploit-urile pentru aplicații precum WhatsApp și Signal, care sunt criptate end-to-end și deci mai greu de spart, pot ajunge de la un milion până la patru milioane de dolari, în funcție de circumstanțe și de cât de urgent are nevoie guvernul să ajungă la țintă.

„Sunt niște lucruri pentru care companiile sunt dispuse să plătească mulți bani, mai mult de un milion de dolari pentru o vulnerabilitate. Este vorba despre codul de execuție de la distanță pentru iMessage, WhatsApp, Signal, Telegram, etc”, a spus Shwartz. „Odată ce ești vulnerabil, merită toți banii.”

Bekrar a atenționat că în ciuda creșterii dificultății de exploatare și de hacking a unor sisteme de operare și aplicații, există mai multe bug-uri ca niciodată.

„Exploit-ul este mai greu, durează mai mult și mai mulți cercetători analizează aceste ținte. Scopul nostru prin mărirea prețurilor este să continuăm această mișcare și să încurajăm cercetătorii să continue să vâneze exploit-uri”, mi-a spus Bekrar.

„Sunt în industria zero-day de mai bine de 15 ani și nu am văzut niciodată atât de multe exploit-uri ca-n 2018”, a adăugat el. „Nici nu-ți imaginezi ce se dezvoltă și vinde.”

Articolul a apărut inițial pe VICE US.