L’organizzazione russa Operation Zero, specializzata nell’acquisto e nella rivendita di vulnerabilità informatiche, ha lanciato un’offerta economica fino a ben 4 milioni di dollari per chi fornisce degli exploit contro Telegram, la popolare app di messaggistica creata dal CEO Pavel Durov recentemente autorizzato a lasciare la Francia dopo l’arresto avvenuto nell’agosto del 2024.
Fino a 4 milioni di dollari per un exploit di Telegram
Il compenso proposto varia in base alla gravità dell’exploit. Si parte da 500 mila dollari per una vulnerabilità one-click con esecuzione di codice remoto (RCE), fino a 1,5 milioni per un zero-click RCE che non richiede alcuna azione da parte della vittima e fino al massimo di 4 milioni per una exploit chain completa in grado di compromettere il sistema operativo del bersaglio.
Operation Zero vende esclusivamente a clienti russi e la sua attenzione verso Telegram non sarebbe casuale. L’app è ampiamente usata in Russia e Ucraina ed è considerata un canale sensibile in tempi di guerra e tensioni geopolitiche che hanno un impatto a livello mondiale.
La risposta di Pavel Durov e soci
Gli exploit zero-day sono particolarmente preziosi perché sfruttano falle sconosciute ai produttori dei software rendendo ancora più difficile sia la loro individuazione che la loro correzione. I zero-click RCE rappresentano a loro volta una categoria di vulnerabilità molto pericolosa in quanto consentono il controllo da remoto di un dispositivo senza che l’utente debba fare nulla.
Da parte loro, i portavoce di Telegram hanno risposto alla notizia dichiarando che fino ad ora l’applicazione non è mai stata vulnerabile ad exploit zero-click, senza però fornire delle prove concrete di quanto affermato. Ad oggi l’app di Pavel Durov e soci non utilizza la crittografia end-to-end come modalità predefinita e molti dei messaggi che vengono scambiati giornalmente dagli utilizzatori potrebbero essere visibili sui suoi web server.
Per restare sempre aggiornato seguici su Google News!
