Dopo essere salite al podio del mercato per gli attacchi informatici, WhatsApp, Telegram, Signal, iMessage potrebbero far guadagnare ciascuno fino a mezzo milione di dollari. La taglia su queste app di chat è stata proposta dalla società americana Zerodium, broker di exploit (un codice che sfrutta una vulnerabilità) purché gli attacchi siano pienamente funzionali e rivolti alle più note app di chat e messaggistica installate su mobile.
Tutte queste app hanno implementato una cifratura forte (end-to-end, da dispositivo a dispositivo, tanto forte e sicura che nemmeno chi offre il servizio può violare) a difesa della sicurezza e della privacy dei clienti. Di qui l’interesse delle forze dell’ordine e dei governi, che non riescono a controllare come in passato le comunicazioni digitali.
Zerodium è tra i broker più visibili di un mercato – quel mercato che sfrutta o ama le tecniche di vulnerabilità del software – un mondo questo che non è mai stato molto chiaro. Zerodium, fondata dal francese Chaouky Bekrar con base Washington, compra exploit e li rivende. Non si conosce chi siano esattamente i suoi clienti, ma la società afferma di trattare soltanto con governi occidentali o democratici e con importanti industrie della difesa e tecnologia.
Da qualche giorno, Zerodium ha aggiornato il listino degli attacchi e lo ha reso pubblico. Desiderosa di fare acquisti da hacker di tutto il mondo offrirebbe fino a 500 mila dollari per ottenere le tecniche che permettano di attaccare da remoto (RCE, Remote Code Execution) Signal, Telegram, WhatsApp, iMessage, oltre a Viber, Facebook Messenger, WeChat, e di accedere a tutte le risorse (LPE, Local Privilege Escalation). In poche parole, l’azienda vorrebbe ottenere il codice che permette di leggere le conversazioni che avvengono via chat e se possibile controllare tutto il dispositivo. Il venditore internazionale di exploit The Grugq, ha twittato :“Le app mobili sono ben isolate (sandboxed), rispetto al desktop, ma le app prese di mira – soprattutto di chat – danno un accesso completo ai dati rilevanti”.
La richiesta di questi codici viene proprio dai governi, ha raccontato Bekrar a La Stampa. “Abbiamo aggiunto le app di messaggistica su mobile alla nostra lista perché i governi che sono nostri clienti hanno bisogno di risorse zero-day che gli permettano di tracciare criminali e terroristi che utilizzano app come Telegram e Signal“. L’utilizzo da parte dei governi è quasi sempre di tipo investigativo, di intelligence o di cyberguerriglia. Purtroppo non esiste, in questo campo, alcun tipo di trasparenza e di controllo sull’utilizzo ultimo dei codici.
Tra i dispositivi che più si vorrebbero controllare gli iOS di Apple, per i quali la taglia arriva anche a 500 mila dollari. L’attacco dovrebbe essere in grado di eseguire un jailbreak (disabilitare la protezione e installare un malware) da remoto su questi apparecchi, senza che l’utente faccia nulla (no click): per qualcosa del genere, Zerodium è disposta a pagare 1 milione e 500 mila dollari. Se invece è necessaria l’interazione con un click su un link, il prezzo scende a 1 milione. Per i dispositivi Apple, ci sono così nuove app di messaggistica, che valgono 500 mila dollari (come anche le app di email, sms/mms). Per attacchi via browser Chrome, Safari, documenti, file media, processori baseband, l’offerta scende a 150 mila dollari.