شرکت Operation Zero که در زمینه خرید و فروش آسیبپذیریهای روز صفر (Zero-Day) فعالیت دارد و بهطور انحصاری با دولت و شرکتهای روسی همکاری میکند، اعلام کرده که حاضر است تا سقف 4 میلیون دلار برای کشف و ارائه آسیبپذیریهای پیامرسان تلگرام هزینه بپردازد.
طبق اعلام این شرکت در ایکس، Operation Zero مبلغ 500 هزار دلار برای آسیبپذیری «اجرای کد از راه دور» (RCE) با یک کلیک، 1.5 میلیون دلار برای نوع بدون کلیک (Zero-Click RCE) و تا 4 میلیون دلار برای مجموعهای از آسیبپذیریهای زنجیرهای که میتواند کنترل کامل دستگاه کاربر را به هکرها بدهد، پیشنهاد داده است.
تلگرام در کانون توجه روسیه
تلگرام یکی از محبوبترین پیامرسانها در روسیه و اوکراین محسوب میشود و این موضوع باعث شده مورد توجه دولت روسیه نیز قرار گیرد. از آنجایی که Operation Zero فقط به مشتریان روسی خدمات ارائه میدهد، پیشنهاد جایزه برای کشف آسیبپذیریهای این پیامرسان میتواند نشاندهنده علاقه دولت روسیه به نفوذ در این پلتفرم باشد.
بهطور کلی بازار آسیبپذیریهای روز صفر به شدت محرمانه است، اما پیشنهاد علنی چنین جوایزی میتواند اولویتهای سایبری دولت روسیه را آشکار کند. معمولاً شرکتهای خرید و فروش آسیبپذیری زمانی پیشنهادات خود را علنی میکنند که مشتری خاصی به دنبال این نوع آسیبپذیریها باشد.
آسیبپذیریهای روز صفر، حفرههای امنیتی ناشناختهای در نرمافزارها و سختافزارها هستند که توسعهدهندگان هنوز از وجود آنها مطلع نشدهاند. به همین دلیل، این آسیبپذیریها در بازارهای غیررسمی ارزش بالایی دارند، زیرا هکرها و دولتها میتوانند بدون اطلاع شرکتهای سازنده، از آنها برای نفوذ به سیستمها استفاده کنند.
یکی از مهمترین انواع این آسیبپذیریها، «اجرای کد از راه دور» (RCE) است که به هکرها اجازه میدهد بدون نیاز به دسترسی فیزیکی، کنترل کامل یک اپلیکیشن یا حتی کل سیستمعامل را در دست بگیرند.
آسیبپذیریهای Zero-Click RCE از ارزش بیشتری برخوردارند، زیرا برخلاف حملات فیشینگ، نیازی به تعامل کاربر ندارند و میتوانند بدون کلیک یا اقدام خاصی از سوی هدف، دستگاه او را آلوده کنند.
اعلام این جایزه زمانی صورت گرفته که دولت اوکراین استفاده از تلگرام را در میان مقامات دولتی و نظامی ممنوع کرده است. کارشناسان امنیتی نیز مدتهاست که نسبت به ناامن بودن تلگرام در مقایسه با واتساپ و سیگنال هشدار میدهند. اخیراً در دو منطقه روسیه نیز به دلایل امنیتی استفاده از این سرویس ممنوع شده بود.
منبع: دیجیاتو
source