Góc làm giàu: Một công ty treo giải 1 triệu USD cho ai hack được WhatsApp và iMessage

Nếu bạn là một hacker hay là một chuyên gia nghiên cứu bảo mật, có kiến thức “uyên thâm” về iPhone thì còn đợi gì mà không thử sức, biết đâu lại có một cái tết ấm no hơn!

Vào hôm thứ hai, 7/1, Zerodium, một công ty khởi nghiệp hoạt động trong lĩnh vực mua và bán các công cụ hack cho các cơ quan, tổ chức trên khắp thế giới đã tuyên bố tăng giá mua cho hầu hết các công cụ mà họ đang tìm kiếm, chẳng hạn như bẻ khóa iOS từ xa và khai thác các lỗ hổng trong Windows. Đại diện của Zerodium cho biết công ty sẽ sẵn sàng trả cho các nhà nghiên cứu bảo mật 1.000.000 đô la nếu họ khai thác được lỗ hổng trong các ứng dụng nhắn tin/trò chuyện nổi tiếng như WhatsApp, iMessage và SMS/MMS trên tất cả các hệ điều hành di động.

WhatsApp

“Các ứng dụng nhắn tin nói chung và WhatsApp nói riêng đôi khi là kênh liên lạc duy nhất được sử dụng bởi các mục tiêu mà khách hàng của chúng tôi nhắm tới, và mã hóa đầu cuối khiến họ gặp khó khăn trong việc ngăn chặn hay khai thác các liên lạc đó. Vì vậy, các công cụ giúp khai thác những ứng dụng này từ xa một cách trực tiếp mà không ảnh hưởng đến khả năng vận hành của thiết bị là chiến lược tối ưu và hiệu quả hơn nhiều”, Chaouki Bekrar, người sáng lập của Zerodium chia sẻ trong một cuộc nói chuyện trực tuyến.

Việc hack iPhone, đôi khi con được gọi một cách văn hoa là bẻ khóa từ xa, khai thác lỗ hổng iOS hoặc root điện thoại, có thể được trả công lên tới hơn 2 triệu đô la và thường liên quan đến một loạt lỗi và lỗ hổng có thể khai thác.

“Mục đích chính là muốn thu hút thêm những nguồn lực, và chúng tôi hoàn toàn có khả năng tài chính để mua được nhiều bản hack iPhone khác nhau. Chúng tôi được hỗ trợ bởi rất nhiều khách hàng lớn cũng như lượng khách hàng tiềm năng dồi dào, ngân quỹ để trả cho các bản hack như vậy cũng có thể gọi là vô tận”.

Việc tăng giá mua lại các công cụ hack cho thấy các thiết bị di động nói chung ngày càng trở nên càng an toàn hơn và do đó khó bị hack hơn. Điều này có nghĩa là các hacker sẽ phải bỏ ra nhiều công sức hơn trong việc tìm ra công cụ để bẻ khóa hay khai thác lỗ hổng trên các thiết bị iOS và Android. Và đương nhiên khi mà sự khó khăn tăng lên thì thù lao cũng sẽ phải hậu hĩnh hơn. Những tổ chức, cơ quan có nhu cầu đương nhiên sẽ phải chấp nhận chi thêm tiền. Tuy nhiên, tiền nong là một chuyện, cung không đáp ứng được cầu mới là vấn đề, và đây chính là lúc mà các công ty như Zerodium, Azimuth và Crowdfense phát huy tác dụng của mình. Họ là những người đóng vai trò trung gian giữa các nhà nghiên cứu bảo mật và các cơ quan, tổ chức đang tìm kiếm các công cụ mà thường được gọi là zero-day. Zerodium chịu trách nhiệm môi giới, tìm mua các công cụ zero-days, rồi bán công cụ đó lại cho những tổ chức có nhu cầu.

Trước đó, Zerodium đã tuyên bố sẵn sàng trả ngay 500.000 đô la cho bất kỳ ai có thể khai thác được các lỗ hổng trên WhatsApp và iMessage, nhưng rõ ràng là số tiền này không còn tương xứng với tình hình khó khăn như hiện tại nên việc Zerodium nâng giá lên gấp đôi cũng là điều dễ hiểu.

Trước đó, Zerodium đã tuyên bố sẵn sàng trả ngay 500.000 đô la cho bất kỳ ai có thể khai thác được các lỗ hổng trên WhatsApp và iMessage

Trong một cuộc phỏng vấn vào tháng 12 năm ngoái, một chuyên gia trong lĩnh vực phân tích bảo mật cho biết rằng để khai thác các ứng dụng nhắn tin như WhatsApp và Signal, các hacker sẽ phải khoan thủng lớp mã hóa đầu cuối tối tân của các nhà phát triển, do đó đây sẽ không phải là một nhiệm vụ dễ dàng và có thể nói số tiền 1 triệu đô la (hay thậm chí có thể lên tới 4 triệu đô la) kia cũng không hề “dễ xơi” chút nào.

“Có một số công cụ khai thác lỗ hổng mà các công ty sẵn sàng mua với số tiền lớn, lên tới hơn 1 triệu đô la. Thông thường là có liên quan đến thực thi mã từ xa (remote code execution) cho iMessage, WhatsApp, Signal, Telegram, và các ứng dụng trò chuyện khác. Một khi bạn nắm trong tay cách thức khai thác loại lỗ hổng này, điều đó có nghĩa rằng bạn đã là một triệu phú!”, chuyên gia bảo mật Maor Shwartz cho biết.

Có một số công cụ khai thác lỗ hổng mà các công ty sẵn sàng mua với số tiền lớn, lên tới hơn 1 triệu đô la

Bekrar cảnh báo rằng mặc dù việc khai thác và hack một số hệ điều hành và ứng dụng ngày càng trở nên khó khăn, nhưng không phải là không thể. Ngoài ra, sẽ có ít lỗi trên các ứng dụng ngày nay, nhưng đây thường sẽ là những lỗ hổng rất nghiêm trọng nếu bị khai thác. “Khai thác lỗ hổng trên các ứng dụng và hệ điều hành ngày càng trở nên khó khăn hơn, mất nhiều thời gian hơn, nhưng nhiều nhà nghiên cứu bảo mật hoàn toàn có đủ tài năng để làm được điều đó, và chiến lược của chúng tôi là tăng giá và tăng giá mạnh hơn nữa nhằm khuyến khích các nhà nghiên cứu tiếp tục săn lùng và khai thác các lỗ hổng bảo mật tiềm năng”.

Trên thực tế, 2018 là một năm bùng nổ của thị trường giao dịch các công cụ khai thác lỗ hổng. Tuy chưa có dự báo cụ thể từ các chuyên gia đầu ngành nhưng nhiều khả năng trong năm 2019 này, tình hình sẽ vẫn được duy trì.

Xem thêm:

Thứ Ba, 22/01/2019 16:02
51 👨 320