São frequentes as descobertas de vulnerabilidades zero-day — isto é, que são exploradas antes de serem identificadas e corrigidas pelas fabricantes de sistemas e aplicativos, incluindo a Apple. Essa recorrência é sinal de que os esforços para encontrar tais falhas são constantemente renovados por pessoas interessadas em fazer e/ou facilitar ataques.
Existe, ainda, um estímulo bastante sensível para a realização dessa atividade. Trata-se de empresas e grupos como a Crowdfense, que adquire vulnerabilidades zero-day para revendê-las para outras organizações. Geralmente, os seus clientes são agências governamentais ou que prestam serviços para governos, os quais costumam usar as ferramentas para monitorar criminosos.
Como repercutido pelo TechCrunch, a referida empresa atualizou recentemente a sua lista de preços para tais ferramentas. A companhia está oferecendo entre US$5 milhões e US$7 milhões para vulnerabilidades do tipo que permitam explorar iPhones; até US$3,5 milhões para brechas no Safari; e entre US$3 milhões e US$5 milhões para aquelas encontradas no WhatsApp e no iMessage.
Já para vulnerabilidades em dispositivos com Android, o pagamento é de até US$5 milhões, enquanto, no Google Chrome, de até US$3 milhões. Esses valores receberam um aumento em relação à última lista, divulgada em 2019. Na época, o maior pagamento da Crowdfense era de US$3 milhões, por brechas em dispositivos Android ou iOS.
O aumento deve-se à crescente dificuldade de encontrar vulnerabilidades em dispositivos e sistemas, na medida em que empresas como a Apple, o Google e a Microsoft vêm melhorando a segurança e corrigindo brechas mais rapidamente. As maiores barreiras implicam, por exemplo, na necessidade de mais pessoas para desenvolver um ataque.
Atualmente, os preços da Crowdfense são os maiores fora da Rússia, onde uma empresa oferece US$20 milhões por ferramentas para hackear iPhones e aparelhos Android. No país, porém, os preços estão inflacionados em razão da guerra contra a Ucrânia e as sanções que vieram em consequência.
Desenvolvedores que trabalham com vulnerabilidades zero-day disseram ao TechCrunch, porém, que alguns dos preços oferecidos pela Crowdfense estão abaixo dos praticados pelo mercado. Eles podem estar se referindo às operações feitas diretamente com governos, por exemplo.
A título de comparação, o programa Apple Security Research Bounty, que também paga por vulnerabilidades descobertas — embora para corrigi-las, não explorá-las —, oferece, no máximo, US$2 milhões.
