Uma vulnerabilidade de segurança de dia zero do WhatsApp, ou seja, que afeta a plataforma sem os criadores estarem cientes, estava a ser vendida, em 2021, por valores entre os 1,7 e os 8 milhões de dólares. Agora, “os preços dispararam”, conta um especialista de uma empresa de cibersegurança ao TechCrunch.
Pela sua popularidade, o WhatsApp é um alvo apetecível para cibercriminosos e também para hackers ligados a governos. Em 2019, o spyware da NSO Group estava a ser usado para espiar utilizadores do WhatsApp e o WhatsApp acabou por processar o fabricante israelita.
Uma falha de RCE, de Remote Desktop Execution, estava a ser vendida por 1,7 milhões de dólares em 2021 e permitia aos piratas executar código malicioso remotamente no aparelho das vítimas e monitorizar, ler e exfiltrar mensagens do WhatsApp, sem que a vítima tivesse de fazer nada. Apesar de três correções de vulnerabilidades, lançadas entre 2020 e 2021, a verdade é que esta falha, que explorava a “biblioteca de renderização de imagem”, foi explorada ativamente.
“Os compradores de explorações de falhas estão especialmente interessados no que as explorações habilitam – espiar os utilizadores (…). Se a exploração não lhes der aquilo que querem, têm de comprar múltiplos pedaços e combiná-los”, disse outro especialista.
Nos últimos anos, este tipo de técnicas de espionagem tem vindo então a aumentar de valor, principalmente por permitir a espionagem de alvos de alto perfil em dispositivo com sistemas operativos mais robustos do ponto de vista da segurança (como são os casos do iOS da Apple e o Android da Google).
Segundo a mesma notícia, uma empresa russa que compra vulnerabilidades de dia zero ofereceu recentemente até 20 milhões de dólares (cerca de 19 milhões de euros ao câmbio atual) por uma cadeia de falhas de segurança que permitisse ganhar acesso remoto a smartphones iOS e Android.