Mais de 60 vulnerabilidades de dia zero de produtos Apple, Adobe, Google, Microsoft e Mozilla que surgiram desde 2016 foram atribuídas a fornecedores comerciais de spyware, disse o Google em um novo relatório publicado nesta terça-feira, 6.
O relatório da gigante tecnológica fornece informações sobre as operações de empresas que ajudam os governos a instalar spyware em dispositivos. Embora esses fornecedores de spyware comercial afirmem que os seus produtos e serviços são utilizados apenas para vigilância legal, normalmente para fins de aplicação da lei, investigações demonstraram que regimes autocráticos os utilizam para atingir opositores políticos, jornalistas, dissidentes e defensores dos direitos humanos.
Governantes de regimes ditatoriais abertos ou velados estão dispostos a pagar milhões de dólares a fornecedores comerciais de spyware por explorações que possam lhes dar controle total dos dispositivos, especialmente telefones com sistemas Android e iOS. Essas empresas também podem ganhar milhões com um único cliente. Além do spyware em si, o cliente recebe o mecanismo de entrega inicial e as explorações necessárias, infraestrutura de comando e controle, bem como ferramentas para organizar dados roubados de dispositivos comprometidos.
O Threat Analysis Group (TAG) do Google rastreia atualmente cerca de 40 fornecedores comerciais de spyware que desenvolvem e vendem exploits e malware para governos. Em seu último relatório, o Google nomeia 11 desses fornecedores, incluindo Candiru, Cy4Gate, DSIRF, Intellexa, Negg, NSO Group, PARS Defense, QuaDream, RCS Lab, Variston e Wintego Systems.
A empresa atribui mais de 60 vulnerabilidades exclusivas do Android, Chrome, iOS/macOS, WhatsApp e Firefox descobertas desde 2016 a essas empresas. A lista não inclui as falhas de segurança conhecidas (n dias) que os fornecedores de spyware têm explorado.
Das 25 vulnerabilidades exploradas que o TAG descobriu no ano passado, 20 foram usadas por fornecedores de spyware. Além disso, essas empresas estão por trás de 35 dos 72 dias zero explorados contra produtos Google desde meados de 2014. O gigante da internet observou que essas são apenas as explorações que foram descobertas. O número real de vulnerabilidades exploradas é provavelmente maior, pois existem algumas explorações que ainda não foram detectadas ou que ainda não foram vinculadas a fornecedores de spyware.
Quando o Google e a Apple corrigem vulnerabilidades de dia zero, seus avisos informam os clientes sobre a exploração ativa, mas não fornecem nenhuma informação sobre os ataques ou os invasores. O último relatório do Google vincula pela primeira vez várias dessas vulnerabilidades de dia zero a fornecedores específicos de spyware. Por exemplo, os dias zero CVE-2023-28205 e CVE-2023-28206 do iOS, para os quais a Apple se apressou em lançar patches em abril de 2023, e CVE-2023-32409, que foi corrigido em maio, foram explorados pela empresa espanhola Variston. A exploração da vulnerabilidade Android CVE-2023-33063 também foi vinculada a mesma fornecedora de spyware.
Veja isso
Spyware usa dia zero para infectar dispositivos Android e iPhones
Apple divulga dois dias zero usados para implantar spyware
Já as vulnerabilidades do iOS rastreadas como CVE-2023-42916 e CVE-2023-42917, para as quais a Apple alertou recentemente sobre exploração ativa, foram vinculadas à empresa turca PARS Defense. Os CVE-2023-2033 e CVE-2023-2136, falhas do Chrome corrigidas pelo Google em abril, e CVE-2023-3079, corrigidas em junho, foram todas atribuídas ao Intellexa.
A lista é extensa. O CVE-2023-7024, o oitavo patch de dia zero no Chrome em 2023, foi atribuído ao NSO Group. Além disso, quando corrigiu o CVE-2023-5217 em setembro, o Google alertou que a vulnerabilidade do Chrome havia sido explorada por um fornecedor de spyware, mas não revelou o nome da empresa. O novo relatório revela que o fornecedor de spyware é a Candiru, com sede em Israel. As vulnerabilidades do Android CVE-2023-4211, CVE-2023-33106, CVE-2023-33107 foram atribuídas à empresa italiana Cy4Gate.
Para saber como funciona a indústria de spyware comercial e o que pode ser feito a respeito clique aqui.