O WhatsApp é o serviço de mensagens mais usado do mundo, o que torna a aplicação da Meta um alvo principal para cibercriminosos realizarem os seus ataques: é muito fácil para pessoas mal-intencionadas espalharem esquemas nesta plataforma, pois há várias soluções para tal: recentemente, a Meta, empresa-mãe do WhatsApp, anunciou ter eliminado 6,8 milhões de contas da aplicação de mensagens instantâneas por estarem associadas a redes criminosas de burlas online com atuação global.
Os ataques não necessitam obrigatoriamente de envolver contacto entre a vítima e o cibercriminoso: aliás, já desenvolveram golpes em que o utilizador não precisa sequer interagir para ser enganado. Segundo o site ‘El Economista’, esses são os mais perigosos, pois podem roubar involuntariamente as informações pessoais e bancárias através de um vírus malicioso.
Por esse motivo, a Pwn2Own esforçou-se ao máximo no seu concurso anual de segurança cibernética ‘Zero Day Initiative’ (ZDI) e, com o patrocínio da Meta, está a oferecer uma recompensa de até um milhão de dólares para qualquer um que encontrar um exploit de execução remota de código (RCE) na aplicação sem a necessidade de interação do utilizador, conhecido no setor como ‘ataque de clique zero’.
Esta recompensa é a maior alguma vez oferecida neste concurso, e a categoria WhatsApp foi introduzida no ano passado, mas ninguém se atreveu a experimentá-la. “Talvez um número com seis zeros forneça a motivação necessária”, observaram ironicamente os organizadores do ZDI em comunicado.
Para isso, os candidatos devem demonstrar como o código malicioso é executado sem qualquer intervenção do utilizador. Isso não é nada fácil, pois exige habilidades técnicas extremamente elevadas e enorme responsabilidade, já que essa vulnerabilidade pode colocar em risco os 3 mil milhões de utilizadores da aplicação de mensagens instantâneas.
Essa prática de oferecer grandes recompensas para quem encontrar vulnerabilidades e bugs é bastante difundida entre empresas tecnológicas, pois, no fim das contas, é mais lucrativo para elas ter pessoas a competir e a trabalhar para encontrar essas falhas do que contratar uma equipa e pagar para fazer o mesmo.
Embora um milhão de dólares seja muito dinheiro, não é para uma empresa como a Meta. Esse método de procura por vulnerabilidades é muito benéfico para as empresas, pois só terão de pagar a uma pessoa e receberão inúmeros bugs (se houver) dos outros concorrentes para corrigir também.
