Negli ultimi anni sono migliorate notevolmente le misure di sicurezza per i nostri smartphone e questo ha portato ad un aumento della richiesta di bug che siano abbastanza forti ed efficienti. Un’azienda russa, specializzata nell’acquisto di vulnerabilità sconosciute agli sviluppatori dei software (zero-day), ha offerto ben 20 milioni di dollari per catene di bug che darebbero la capacità ai loro clienti di compromettere a distanza telefoni sia con sistema operativo Androide che iOS. L’aumento dei prezzi è dovuto, almeno in parte, alla scarsità di ricercatori disposti a lavorare con la Russia, a causa situazione in Ucraina.
Il mercato è in crescita anche fuori della Russia, dove possiamo assistere ad un significativo aumento dei prezzi per le “vulnerabilità” digitali, specialmente quelle relative ad alcune specifiche app, come WhatsApp.
Le falle su WhatsApp sono particolarmente remunerative
L’app di messaggistica istantanea è quella che attira maggiormente l’attenzione in questo mercato. WhatsApp è ormai da tempo uno degli obiettivi più popolari degli hacker governativi che spesso fanno uso di zero-day per scopi di spionaggio. Ci sono stati vari esempi in cui l’app è stata protagonista di attacchi da parte di vari hacker.
Nel 2019 sono stati scoperti alcuni casi in cui i clienti del produttore, decisamente controverso, di spyware NSO Group usavano una zero-day come “arma” contro gli utenti di WhatsApp.
All’epoca WhatsApp ha anche citato in giudizio il NSO Group, accusandolo di abusare della piattaforma per fare un uso improprio della zero-day contro i suoi utenti.
Nel 2021, una zero-day, capace di compromettere WhatsApp su Android e leggerne tutti i messaggi, poteva avere un valore complessivo tra i 1,7 e 8 milioni di dollari.
Questo particolare interesse verso WhatsApp viene scaturito dall’interesse di alcuni hacker governativi verso le conversazioni sull’app di messaggistica senza volerne per questo compromettere l’intero dispositivo. Un exploit limitato a WhatsApp potrebbe però essere utilizzato come parte di una catena di attacchi che potrebbero ulteriormente compromettere il dispositivo della vittima.
Gli acquirenti di exploit sono interessati, al di là di tutte le varianti, ai risultati che consentono di ottenere: lo spionaggio di determinati bersagli. Pur di raggiungere i propri obiettivi, alcuni clienti possono acquistare più componenti per combinare le differenti vulnerabilità. Questa scelta può essere condizionata dall’assenza di un exploit che offra le funzionalità desiderate.