Exploit per vulnerabilità zero-day: prezzi in aumento

Exploit per vulnerabilità zero-day: prezzi in aumento

Il prezzo degli exploit zero-day raggiungono i 9 milioni di dollari, in quanto è sempre più difficile aggirare le protezioni di app e sistemi operativi.
Exploit per vulnerabilità zero-day: prezzi in aumento
Il prezzo degli exploit zero-day raggiungono i 9 milioni di dollari, in quanto è sempre più difficile aggirare le protezioni di app e sistemi operativi.

La maggioranza dei ricercatori di sicurezza segnala le vulnerabilità alle aziende interessate. Alcuni vogliono invece ottenere un guadagno, quindi vendono le informazioni a società specializzate che offrono gli exploit ai governi per individuare i criminali. In base agli ultimi listini, i prezzi sono notevolmente aumentati in pochi anni.

Exploit da milioni di dollari

Apple, Google, Meta e altre aziende che sviluppato sistemi operativi e app molto popolari, come iOS, Android, Chrome, Safari, iMessage e WhatsApp, introducono funzionalità sempre più avanzate per ridurre la probabilità di successo degli attacchi. Per questo motivo è diventato più difficile sviluppare un exploit funzionante per le vulnerabilità zero-day.

Diverse società, come Crowdfense e Zerodium, acquistano gli exploit zero-day per rivenderli ad altre organizzazioni, agenzie governative in particolare, che li sfruttano per tracciare o spiare i criminali. In base al listino più recente di Crowdfense, i prezzi degli exploit zero-click sono decisamente aumentati: fino a 9 milioni di dollari per SMS/MMS, fino a 7 milioni di dollari per iOS e fino a 5 milioni di dollari per Android. La somma massima pagata nel 2019 era solo 3 milioni di dollari.

L’incremento è dovuto soprattutto a due fattori. Le aziende hanno sviluppato tecnologie più avanzate per proteggere i dispositivi e ci sono ricercatori (come quelli del Google Threat Analysis Group) che segnalano le vulnerabilità zero-day alle rispettive aziende per il rilascio rapido delle patch.

Paolo Stagno, direttore della ricerca di Crowdfense, ha evidenziato che fino a qualche anno fa un singolo ricercatore poteva trovare una o più vulnerabilità zero-day e scrivere un exploit funzionante per Android e iOS. Oggi è quasi impossibile, in quanto occorre un team di ricercatori e ciò comporta un aumento dei costi.

Quelli indicati sono però i prezzi pubblici. In realtà, alcuni governi pagano cifre più elevate, soprattutto se gli exploit servono per sviluppare gli spyware usati per spiare giornalisti, dissidenti e difensori di diritti umani. Crowdfense ha dichiarato che non vende gli exploit ai paesi sanzionati dagli Stati Uniti, ovvero Russia, Iran, Iraq, Bielorussia, Siria, Afghanistan, Cuba, Corea del Nord, Sudan e Sud Sudan.

Fonte: TechCrunch
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
9 apr 2024
Link copiato negli appunti