Güvenlik mekanizmalarındaki iyileştirmeler ve hafifletmeler sayesinde, hem iOS hem de Android çalıştıran cep telefonlarını hacklemek pahalı bir çaba haline geldi. TechCrunch, bu nedenle WhatsApp gibi uygulamalara yönelik hackleme tekniklerinin artık milyonlarca dolar değerinde olduğunu öğrendi.
Geçtiğimiz hafta, etkilenen ürünün geliştiricisinin bilmediği yazılım kusurları olan sıfır günleri satın alan bir Rus şirketi, müşterilerine izin verecek hata zincirleri için 20 milyon dolar teklif etti ve şirketin “Rus özel ve devlet kurumları” olduğunu söyledi. iOS ve Android çalıştıran telefonların güvenliğini uzaktan tehlikeye atmak için yalnızca”. Bu fiyat kısmen, Ukrayna’nın işgali devam ederken Rusya ile çalışmaya istekli çok fazla araştırmacının bulunmamasından ve Rus hükümeti müşterilerinin mevcut koşullar altında muhtemelen bir prim ödemeye istekli olmasından kaynaklanıyor.
Ancak Rusya dışındaki pazarlarda bile, yalnızca belirli uygulamalardaki hatalar dahil olmak üzere fiyatlar arttı.
TechCrunch tarafından görülen sızdırılan belgeler, 2021 itibarıyla, kullanıcının Android’de bir hedefin WhatsApp’ını tehlikeye atmasına ve mesajların içeriğini okumasına olanak tanıyan sıfır günün 1,7 ila 8 milyon dolar arasında bir maliyete mal olabileceğini gösteriyor.
Piyasa hakkında bilgisi olan bir güvenlik araştırmacısı, “Ateş ettiler” dedi ve basına konuşma yetkileri olmadığı için isminin gizli kalmasını istedi.
WhatsApp, sıfır gün kullanma olasılığı daha yüksek olan hükümet korsanları için popüler bir hedef haline geldi. 2019’da araştırmacılar, tartışmalı casus yazılım üreticisi NSO Group’un müşterilerini WhatsApp kullanıcılarını hedeflemek için sıfır gün kullanarak yakaladı. Kısa bir süre sonra WhatsApp, İsrailli gözetim teknolojisi satıcısına, müşterilerinin sıfır günü kullanmasını binden fazla WhatsApp kullanıcısına karşı kolaylaştırmak için platformunu kötüye kullanmakla suçlayarak dava açtı.
Sızan belgelerden birine göre 2021 yılında bir şirket WhatsApp’ta “sıfır tıklama RCE”sini yaklaşık 1,7 milyon dolara satıyordu. RCE, kötü niyetli bilgisayar korsanlarının hedefin cihazında uzaktan kod çalıştırmasına olanak tanıyan bir tür kusur olan, uzaktan kod yürütmeye yönelik siber güvenlik dilidir. Veya bu durumda, WhatsApp’ın içinde mesajları izlemelerine, okumalarına ve dışarı çıkarmalarına olanak tanıyor. “Sıfır tıklama”, istismarın hedeften herhangi bir etkileşim gerektirmediği, dolayısıyla onu daha gizli ve tespit edilmesi zor hale getirdiği anlamına gelir.
Belgede, bu istismarın 2020’de piyasaya sürülen Android 9’dan 11’e kadar olan sürümlerde işe yaradığı ve “görüntü oluşturma kitaplığındaki” bir kusurdan yararlanıldığı belirtildi. 2020 ve 2021’de WhatsApp sabit üç güvenlik açıkları — CVE-2020-1890, CVE-2020-1910 ve CVE-2021-24041— bunların tümü uygulamanın görüntüleri nasıl işlediğini içeriyordu. Bu yamaların 2021’de satışa sunulan güvenlik açıklarının altında yatan kusurları giderip gidermediği belli değil.
WhatsApp sözcüsü Zade Alsawah, şirketin yorum yapmaktan kaçındığını söyledi.
WhatsApp’ı özellikle hedeflemenin değeri, bazen devlet korsanlarının (istihbarat veya kolluk kuvvetleri için çalışanların olduğunu düşünün) hedefin yalnızca WhatsApp’taki sohbetleriyle ilgilenebilmesidir, böylece telefonun tamamını tehlikeye atmalarına gerek kalmaz. Ancak yalnızca WhatsApp’taki bir istismar, hedefin cihazını daha da tehlikeye atacak bir zincirin parçası da olabilir.
Piyasa hakkında bilgi sahibi olan ve hassas konuları tartışmak için isminin gizli kalmasını isteyen bir güvenlik araştırmacısı, “İstismar alıcıları, izin verdikleri şeylerle ilgileniyorlar: hedeflerini gözetlemek” dedi. “Satın aldıkları istismar onlara istediklerinin hepsini vermiyorsa birden fazla parça satın alıp bunları birleştirmeleri gerekiyor.”
Sıfır gün piyasası hakkında daha fazla bilginiz var mı? Sizden haber almayı çok isteriz. +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram, Keybase ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.