0-day эксплойты для WhatsApp нынче стоят миллионы долларов

Благодаря усовершенствованным механизмам защиты взлом смартфонов на iOS и Android в настоящее время обходится дорого. Например, эксплойты для популярного мессенджера WhatsApp стоят миллионы долларов.

На прошлой неделе мы писали про российскую организацию Operation Zero, предлагающую исследователям 20 миллионов долларов за взлом Android-смартфонов и iPhone.

Тем не менее, как выяснили в TechCrunch, аналогичные рынки за пределами России также существенно повысили цены за информацию о багах в конкретном софте.

Например, в 2021 году 0-day, позволяющую пробить WhatsApp на Android и прочитать сообщения целевого пользователя, можно было приобрести за сумму от 1,7 до 8 миллионов долларов.

Стоит также учитывать, что WhatsApp является одной из основных целей для правительственных хакеров. В 2019 году специалисты обнаружили, что израильская компания NSO Group использует 0-day а атаках на пользователей мессенджера.

Согласно утёкшим документам, на которые ссылается TechCrunch, в 2021-м NSO Group продавала 0-click, позволяющий удалённо выполнить код через WhatsApp, за $1,7 млн.

В документе также упоминается, что эксплойт работал в атаках на версии мессенджера для Android 9 и 11. Удар приходился на брешь в библиотеке для рендеринга изображений.

Позже девелоперы устранили три уязвимости — CVE-2020-1890, CVE-2020-1910 и CVE-2021-24041, — связанные с обработкой графики. Однако насчёт патчей для других дыр, чьи эксплойты продаются злоумышленникам, пока нет информации.

Представители WhatsApp отказались комментировать аналитику TechCrunch.