Vira e mexe, falamos aqui no MacMagazine de alguma brecha de segurança do tipo zero-day encontrada em determinado software. Essas vulnerabilidades, caso você não saiba, são falhas de segurança que ainda não foram descobertas pelos desenvolvedores de um app ou sistema, o que as torna ainda mais perigosas e destrutivas.
Levando isso conta, é natural que alguns dos apps mais populares do mercado, como o WhatsApp, sejam os mais visados por criminosos e agências de vigilância mundo afora. E, segundo informações do TechCrunch, ter acesso a essas brechas pode custar bem mais caro do que muita gente pode imaginar.
De acordo com o veículo, na semana passada, uma companhia russa não identificada que compra brechas zero-day ofereceu nada menos do que US$20 milhões por uma série desses bugs para os seus clientes — compostos principalmente por empresas privadas e governamentais russas. Compatíveis tanto com a versão do WhatsApp para iOS quanto para Android, as falhas podem ser usadas para comprometer a segurança de dispositivos remotamente.
O alto preço cobrado por esses bugs pode ser explicado tanto pelos avanços de segurança desses softwares nos últimos tempos quanto pela guerra da Ucrânia, que representa um entrave para as negociações com pesquisadores de segurança russos. Outros países, entretanto, também viram o preço por brechas desse tipo aumentarem consideravelmente nos últimos anos.
Documentos vazados obtidos pelo TechCrunch, por exemplo, mostravam que, em 2021, uma falha zero-day encontrada na versão do WhatsApp para Android custava entre US$1,7 milhão e US$8 milhões. Um pesquisador de segurança não identificado ouvido pelo veículo confirmou o aumento dos preços.
Em 2019, ainda segundo o site, clientes da polêmica firma de segurança israelense NSO Group foram pegos usando vulnerabilidades zero-day para atacar usuários do WhatsApp. Em 2021, uma falha do tipo “zero-click RCE” — ou seja, que permite executar códigos remotamente — foi encontrada sendo vendida por US$1,7 milhão.
O WhatsApp costuma chamar a atenção de criminosos e governos por se tratar de um app separado do resto do sistema de um celular, de modo que não é preciso comprometer todo o dispositivo para ter acesso a informações privadas. Perguntada, a Meta não quis comentar as revelações da reportagem.
