La prossima eventuale falla di Whatsapp ha già un prezzo: 500mila dollari. È quanto ha promesso agli hacker Zerodium, società di Washington Dc che si occupa di acquistare informazioni relative ai bug software zero-day. L’azienda ha aggiornato il proprio listino prezzi e ha indicato il bel gruzzolo anche per Signal, applicazione di messaggistica crittografata. Ovviamente, Zerodium ha messo dei paletti ben precisi: non è infatti alla ricerca di vulnerabilità da quattro soldi, ma di falle molto importanti che portino all’escalation dei privilegi e che eseguano codice da remoto sui dispositivi infetti. Sul proprio sito l’azienda spiega di essere la realtà che paga i premi maggiori del mercato per exploit di alto livello e completamente funzionanti.
Niente giochi per ragazzini quindi. Zerodium prova ad alzare la barra dei classici programmi di bug bounty, i quali “accettano praticamente qualsiasi tipo di vulnerabilità e di proof of concept, ma poi prevedono ricompense molto basse”. La società sta attualmente acquistano strumenti che riguardano tutti i principali sistemi operativi, desktop e mobile; browser; client e reader; Web server; email server; applicazioni Web e praticamente qualsiasi altro software o servizio.
E il premio di 500mila dollari previsto per Whatsapp e Signal non è neanche il più alto nella lista. La vetta si raggiunge con un tool per effettuare da remoto il jailbreak dell’iPhone. Ovviamente, si tratta di un exploit difficilissimo (se non quasi impossibile) da portare a termine, considerata l’attenzione maniacale di Apple per il proprio sistema operativo. Ma chi dovesse riuscire a dimostrare un bug di questo genere si porterebbe a casa un milione e mezzo di dollari.
Cifre altissime, che fanno nascere dei dubbi sulla composizione della base clienti di Zerodium. Quali entità sono disposte a pagare un tale prezzo per mettere le mani sui dispositivi mobili in modo così pervasivo? La società statunitense è abbastanza vaga e sul proprio sito parla di “principali corporation in ambito difesa, tecnologia e finanza, che necessitano di protezioni zero-day avanzate, così come organizzazioni governative che hanno bisogno di funzionalità di cybersecurity specifiche e su misura”.
Credits: Zerodium. Il listino prezzi dell'azienda per i bug mobile
Fin qui, niente di strano. È normale che le multinazionali e i governi debbano obbligatoriamente affidarsi a soluzioni e a device blindati e affidabili al cento per cento. La missione sbandierata da Zerodium è quindi quella di scoprire eventuali falle nei sistemi, rilevarle in tutta segretezza e fornire poi patch ai propri clienti a caro prezzo. Ma se queste informazioni finissero nelle mani di Paesi non democratici o di organizzazioni criminali?
A disposizione, cioè, di persone intenzionate a spiare dissidenti o avversari politici. Per non parlare di competitor industriali. Su questo è difficile fare luce. Se si valuta però il bicchiere mezzo pieno, cifre di questo livello rappresentano però di per sé una buona garanzia della sicurezza di applicazioni come Whatsapp. Se Zerodium è disposta a pagare 500mila dollari per un bug, significa che almeno per ora gli utenti possono dormire sonni tranquilli.