A Zerodium é uma empresa que paga desenvolvedores de sistemas para descobrir falhas e vulnerabilidades em aplicativos populares. E não pagam pouco.
Frequentemente falamos sobre as falhas de segurança dos softwares, mas felizmente os desenvolvedores lançam rapidamente as atualizações após a detecção. Logo, cada versão nova é mais segura que a anterior, de modo que devemos ter sempre nossos dispositivos atualizados (e este é um dos inconvenientes do Android).
Isso também influi nas vulnerabilidades do sistema, ou exploits, mais especificamente aqueles do tipo zero-day. Nesse caso, o preço é mais caro quanto maior a dificuldade para localizar a falha, pagando o dobro ou o triplo da oferta original (no Android e iOS, respectivamente).
Mais concretamente, a Zerodium oferece US$ 1.5 milhão por vulnerabilidade comprovada no iOS e US$ 200 mil no caso do Android. Há preços para exploits localizados no Adobe Flash Player (entre US$ 80 mil e US$ 50 mil). Os preços estão diretamente relacionados com o grau de dificuldade na criação de cadeia de vulnerabilidades, e isso é muito mais difícil no iOS 10 e no Android 7 do que nas versões prévias.
Uma rede de vulnerabilidades se cotiza em ordem 7,5 vezes maior em um Android, o que dificulta em 7,5 vezes criar uma vulnerabilidade para o iOS, e isso também influi nos valores aplicados.
Qual é o perfil de cliente de uma empresa como a Zerodium?
A Zerodium tem como clientes os “bem intencionados” (naquelas). O perfil de compradores está nos governos e agências que usam essa informação para vigiar e espiar criminosos e terroristas que operam por vias cibernéticas e tecnológicas.
A empresa oferece melhores preços que as próprias proprietárias de software. Apple e Google oferecem recompensas bem menores que a Zerodium, se bem que o nível de exigência de exploits varia, sendo maior no caso da empresa de compra e venda.
É algo mais comum na Deep Web do que na internet aberta, e a Zerodium não é a única empresa que se dedica à compra e venda de vulnerabilidades. A Mitnick’s Absolute Zero-Day e a Exodus Inteliigence fazem o mesmo.
A Zerodium pagou até US$ 3 milhões no ano passado por dados de vulnerabilidades. Não revelam números sobre sua arrecadação, mas não deve ser pouca coisa. Em 2016, eles ofereceram até três vezes mais que o ano passado.
Via Zerodium, Ars Technica