Zero-day acquistati a prezzi mai visti prima!

Buone notizie per gli hacker di mezzo mondo: il mercato degli zero-day lievita a dismisura. C’è chi arriva a pagare cifre decisamente più alte di qualche anno fa per ottenere uno zero-day con tanto di exploit. In altre parole si paga fior di quattrini a chiunque individui una vulnerabilità non nota e ne costruisca un exploit in grado di sfruttarla con successo.

Gli zero-day più ricercati appartengono a due categorie: vulnerabilità relative a dispositivi mobili e vulnerabilità zero-click, ovvero sfruttabili senza interazione da parte dell’utente-vittima.

Perché? Semplice: i dispositivi mobili sono ormai in mano a tutti e senza adeguate protezioni, in più l’infezione di un dispositivo senza click da parte della vittima rende l’attacco più facile e trasparente.

Qualche esempio: una vulnerabilità che conduce ad un jailbreak remoto di dispositivi iOS viene pagata fino a 2 milioni di dollari se richiede zero-click, altrimenti fino a 1,5 milioni di dollari se richiede l’interazione dell’utente. Si passa poi alle applicazioni considerate più diffuse: fino a 1 milione di dollari per vulnerabilità ed exploit di app come Whatsapp, SMS/MMS e iMessage. “Solamente” mezzo milione di dollari invece per le app WeChat, FB Messenger, Signal, Telegram, Chrome, Safari e le principali app di gestione e-mail.

Questo porta a prevedere ovvi rilevanti incrementi della produttività del mondo dell’hacking che, di conseguenza, analizzerà i dispositivi mobili e le loro app veramente a fondo. Le vulnerabilità trovate cresceranno e i dispositivi mobili saranno sempre più a rischio, dal momento che gli hacker (per tenersi il guadagno di notti di lavoro) non denunceranno più quanto scoperto.

Chi non lo ha già fatto è bene che pensi in fretta ad un’adeguata strategia di gestione e protezione dei dispositivi aziendali, ma anche di come proteggere i propri dati a fronte di approcci BYOD (Bring Your Own Device).