Invadir o WhatsApp está valendo até US$ 20 milhões; entenda
6 de Outubro de 2023

Com o avanço dos recursos de segurança no WhatsApp, tanto para aplicativos no sistema Android quanto iOS, ficou mais complicado invadir o mensageiro.

Com isso, o esforço passou a valer mais: instituições que compram essas falhas estão oferecendo até 20 milhões de dólares para quem conseguir encontrar bugs que podem ser explorados, para fins que variam desde fraudes até espionagem.

Documentos obtidos mostraram que, à medida que o WhatsApp intensifica suas medidas de segurança e fecha brechas, mais valioso é conseguir encontrar bugs no sistema.

Na semana passada, uma empresa da Rússia que compra zero-days (como são chamadas as falhas de software de um produto) ofereceu 20 milhões de dólares por um pacote deles.

A instituição alegou que os clientes, organizações privadas e governamentais russas, utilizariam as brechas para comprometer celulares à distância.

Segundo o veículo, o valor alto é porque, com a Guerra entre Rússia e Ucrânia, agências internacionais de espionagem não estão dispostas a cooperar com o país na investigação — embora os preços para esse tipo de ação tenham tido uma alta globalmente.

Alguns casos famosos já surgiram, como clientes da NSO Group, empresa de inteligência cibernética israelense, usando os bugs em seu favor, em 2019.

O documento obtido afirmou ainda que as brechas atingiram as versões 9 e 11 do Android em 2020.

No ano seguinte, o WhatsApp realizou atualizações para corrigir três vulnerabilidades identificadas.

Android 14: Google permite que usuário desligue o 2G para evitar invasão hacker

O documento visto pelo site mostra que, a partir de 2021, os bugs foram usados para comprometer o WhatsApp monitorando o conteúdo das mensagens.

Por ele, é possível não apenas ler, mas também extrair esses envios; na época, o valor girava em torno de 1,7 milhão e 8 milhões de dólares; as falhas são geralmente usadas por organizações de hackers governamentais e os principais alvos eram pessoas públicas ou envolvidas em investigações, o que exigia o monitoramento de mensagens sem que a pessoa estivesse ciente.

Isso ocorre porque, além de serem difíceis de detectar, alguns dos bugs permitem o controle remoto do aplicativo sem nenhuma ação por parte do usuário.

Eles foram apelidados de “zero clique"; um pesquisador de segurança que falou anonimamente, pela sensibilidade da informação, afirmou que os compradores desses pacotes de bugs estão interessados no que eles permitem: espionagem.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...