Pausa é temporária. Zerodium diz que já possui ataques contra o sistema da Apple. Falhas no iPhone eram as mais valiosas na tabela da Zerodium até setembro de 2019, mas cenário mudou.
Free-Photos/Pixabay/CC0 Creative Commons
A Zerodium, uma empresa que atua no mercado paralelo de falhas de segurança, anunciou que não pretende comprar certos tipos de vulnerabilidades para iOS “nos próximos dois ou três meses”. A empresa justificou que tem recebido um “número elevado” de ofertas de brechas no sistema da Apple, que é usado no iPhone e no iPad.
Chaouki Bekrar, presidente da Zerodium, utilizou um palavrão no Twitter para descrever a segurança do iOS, que estaria deixando a desejar. Segundo ele, há “múltiplos” ataques disponíveis para uso contra o sistema da Apple, que atualmente está na versão 13. “Vamos esperar que o iOS 14 seja melhor”, tuitou Bekrar.
Ao contrário de outras empresas do mercado de aquisição de brechas, a Zerodium não compartilha as informações técnicas das falhas com os fabricantes. Isso significa que elas permanecem abertas e podem ser exploradas para invadir dispositivos.
No entanto, isso também significa que as vulnerabilidades precisam ser usadas discretamente para evitar que o “investimento” na falha seja perdido.
Por essa razão, a postura da Zerodium não deve ter efeitos práticos para a segurança da maioria dos usuários de iPhone. Ataques reais em larga escala normalmente se baseiam em circunstâncias mais simples, como a instalação de programas dentro e fora das lojas de aplicativos, ou em vulnerabilidades já conhecidas e corrigidas que atingem apenas quem não atualiza o sistema.
A invasão de muitos dispositivos por meio de uma falha inédita acaba expondo a técnica de ataque, permitindo que a fabricante tome conhecimento do problema atualize o software para corrigi-lo. Dessa forma, as brechas secretas costumam ficar reservadas a ataques direcionados contra alvos valiosos.
Príncipe saudita hackeou celular de Jeff Bezos com vídeo enviado pelo WhatsApp
Em quais circunstâncias um vídeo pode roubar informações do seu celular?
Empresa é ‘face pública’ de um mercado secreto
Falhas de segurança podem ser descobertas por pesquisadores que estudam o comportamento de aplicativos e sistemas durante o processamento de determinados dados ou comunicações – um recebimento de um arquivo ou a visita a uma página web, por exemplo.
Se o comportamento do programa puder ser manipulado de modo a executar operações não autorizadas, o pesquisador terá encontrado uma falha de segurança.
Muitos fabricantes de software possuem programas de recompensa que pagam pelas informações relativas a brechas em seus produtos. A maioria dessas vulnerabilidades é causada por erros de programação e pode ser corrigida pelo fabricante sem qualquer risco para os usuários, desde que as informações da falha sejam mantidas em sigilo. Tanto a Apple como o Google – que mantém o Android, concorrente do iOS – possuem iniciativas desse tipo.
Apple vai pagar até US$ 1 milhão para quem demonstrar falha de segurança em produtos
Para atrair especialistas, a Zerodium normalmente paga valores mais altos que os oferecidos pelas fabricantes de software. As cifras podem chegar a US$ 2 milhões (cerca de R$ 12 milhões) para iOS e até US$ 2,5 milhões (R$ 15 milhões) para o Android.
Brechas no Windows valem no máximo US$ 1 milhão (cerca de R$ 6 milhões). Mas esses montantes mais altos são reservados aos ataques que podem ser executados sem interação da vítima.
Na prática, as informações sobre as falhas de segurança funcionam como “armas digitais” para facilitar a instalação de softwares de espionagem em dispositivos.
Embora os programas de recompensas mantidos pelas empresas sejam conhecidos, o mercado paralelo de falhas é pouco transparente. Os valores oferecidos pela Zerodium – que são públicos – funcionam como um indicativo das demandas desse mercado e da dificuldade de explorar um determinado equipamento ou software.
Logo que foi fundada, em 2015, a Zerodium chamou atenção oferecendo US$ 1 milhão por brechas no iOS. Era o maior valor pago pela companhia. Foi só em setembro de 2019 que os valores para falhas no Android superaram os de brechas correspondentes no iOS pela primeira vez.
Apesar de divulgar publicamente os valores oferecidos pelas falhas, a Zerodium não informa quem são seus clientes.
Embora sua atuação seja polêmica, a Zerodium não sofre pressões legais.
O fundador da companhia, Chaouki Bekrar, entrou no ramo da comercialização de brechas quando fundou a Vupen, na França, em meados da década de 2000.. A empresa não comprava falhas de terceiros, realizando pesquisa própria para identificar as vulnerabilidades. Entre seus clientes, a companhia citava a Agência de Segurança Nacional (NSA) dos Estados Unidos. A Vupen encerrou suas atividades em 2015.
Bekrar fundou a Zerodium logo após o fechamento da Vupen. Com sede nos Estados Unidos, a empresa se diferenciou da antecessora com a oferta pública para a compra de vulnerabilidades identificadas por especialistas independentes, não restringindo mais a sua atuação à pesquisa própria.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Add Comment