Empresa russa oferece até US$ 4 milhões por falhas no Telegram

A Operation Zero, empresa russa que compra e vende vulnerabilidades zero-day exclusivamente para o governo e empresas locais da Rússia, anunciou na quinta-feira que está em busca de exploits para o aplicativo de mensagens Telegram — e está disposta a pagar até US$ 4 milhões por eles.

A empresa está oferecendo até US$ 500 mil por um exploit de execução remota de código (RCE) com apenas um clique; até US$ 1,5 milhão por uma RCE que não exige nenhuma ação do usuário (zero-click); e até US$ 4 milhões por uma “cadeia completa” de falhas, que permitiria a hackers desde o acesso à conta do Telegram até o controle total do sistema operacional ou dispositivo da vítima.

Empresas como a Operation Zero desenvolvem ou adquirem vulnerabilidades em sistemas operacionais e aplicativos populares para revendê-las por valores mais altos. O foco no Telegram faz sentido, já que o aplicativo é muito popular entre usuários na Rússia e na Ucrânia.

Considerando que os principais clientes da Operation Zero são órgãos do governo russo, os valores divulgados publicamente oferecem um raro vislumbre sobre as prioridades do mercado russo de zero-days, conhecido por seu sigilo.

Não é incomum que empresas desse tipo anunciem interesse em falhas específicas quando há uma demanda urgente. Isso pode indicar que o governo russo tenha solicitado à Operation Zero que busque vulnerabilidades no Telegram, levando a empresa a publicar esse “anúncio” e oferecer pagamentos mais altos, sabendo que poderá cobrar ainda mais na revenda.

O CEO da Operation Zero, Sergey Zelenyuk, não respondeu aos pedidos de comentário da TechCrunch.

Vulnerabilidades zero-day são falhas desconhecidas pelos fabricantes de software ou hardware, o que as torna extremamente valiosas — tanto para quem vende quanto para quem deseja explorá-las — já que permitem ataques sem que o alvo ou o desenvolvedor possam reagir a tempo.

Explorações do tipo RCE são especialmente valiosas, pois permitem que hackers assumam o controle remoto de um app ou sistema. Já os zero-click exploits, por não exigirem nenhuma ação da vítima, são ainda mais cobiçados. Uma falha zero-day RCE do tipo zero-click representa o topo da escala de valor nesse mercado.

Foco no Telegram

A nova “recompensa” por falhas no Telegram surge após o governo da Ucrânia banir o uso do aplicativo em dispositivos de militares e funcionários públicos, no ano passado, por temer que hackers russos pudessem explorá-lo facilmente.

Especialistas em segurança e privacidade já alertaram repetidamente que o Telegram não é tão seguro quanto rivais como WhatsApp e Signal. O aplicativo não utiliza criptografia de ponta a ponta por padrão, e mesmo quando ativada, utiliza protocolos não auditados, o que levou especialistas como Matthew Green a afirmar que “a vasta maioria das conversas individuais — e literalmente todos os grupos — provavelmente estão visíveis nos servidores do Telegram”.

Uma fonte com conhecimento sobre o mercado de exploits afirmou que os valores oferecidos pela Operation Zero para falhas no Telegram “são um pouco baixos”, possivelmente porque a empresa espera revendê-las por valores duas ou três vezes maiores. Essa mesma fonte, que pediu anonimato, também sugeriu que a empresa pode comprar por menos, revender múltiplas vezes e ainda realizar pagamentos parciais aos desenvolvedores, o que prejudica os autores das falhas.

Outro especialista do setor disse que os valores anunciados não estão “fora da realidade”, mas tudo depende de fatores como exclusividade e se a empresa pretende desenvolver os exploits internamente ou apenas revendê-los. Em geral, os preços de zero-days aumentaram nos últimos anos, à medida que os sistemas se tornam mais difíceis de invadir — em 2023, por exemplo, uma falha no WhatsApp poderia chegar a US$ 8 milhões.

A Operation Zero já esteve nos noticiários anteriormente por oferecer US$ 20 milhões por ferramentas de invasão capazes de assumir o controle total de dispositivos iOS e Android. Hoje, oferece “apenas” US$ 2,5 milhões por esse tipo de falha.

Via - TC