Recentemente, cidadãos de todo o mundo foram alertados sobre uma suposta vulnerabilidade no WhatsApp que permitia que algo fosse instalado no dispositivo sem que o usuário percebesse. A vulnerabilidade é um exemplo perfeito do que é conhecido como dia zero, ou seja, um bug no código conhecido pelos desenvolvedores de software por dias zero.
Diz-se que o termo teve origem para se referir a software que não foi lançado publicamente: "software de dia zero" foi altamente valorizado por hackers que queriam ser os primeiros a obtê-lo. Ataques de dia zero, realizados através de bugs comuns e fáceis de encontrar em sistemas, arquiteturas ou aplicações pequenas ou pouco conhecidas, são geralmente reportados aos proprietários do sistema assim que são encontrados.
Onde uma vez um ou dois dias zero foram explorados de mais de um milhão de malware descobertos e processados a cada mês por empresas de segurança, hoje o número está aumentando devido ao desenvolvimento de um mercado multimilionário para a compra e venda de vulnerabilidades de zero dias.
O mercado de dia-zero tem três partes. O mercado negro, onde criminosos trocam informações para acessar sistemas e roubar senhas e números de cartões de crédito; o mercado branco, onde pesquisadores e hackers brancos compartilham informações sobre vulnerabilidades com desenvolvedores em troca de dinheiro para corrigi-las; e o mercado cinza, onde pesquisadores e empresas, algumas delas contratantes militares, vendem informações para agências de inteligência, militares ou de aplicação da lei para operações ofensivas ou de vigilância.
Quando se trata de uma aplicação como a WhatsApp, com uma boa estrutura de segurança por trás dela, ela não é mais algo trivial encontrado por acaso. Neste nível, eles são descobertos por empresas que gastam uma enorme quantidade de tempo e recursos com isso, geralmente porque alguém os contrata para fazer o trabalho.
É importante enfatizar que estes tipos de ataques não representam uma ameaça para a população em geral, uma vez que grandes quantidades de dinheiro são usadas para atingir indivíduos muito específicos, em certos círculos de poder, através do "paciente zero" escolhido para esse fim. Portanto, nestas situações, é importante fazer uma análise de risco pessoal e se perguntar: posso ser um alvo de tais ataques? A menos que sejamos ativistas ou políticos, por exemplo, a resposta é não e toda a preocupação que devemos ter como usuários comuns é a de atualizar o sistema.
Conecta