Hackeři i vlády využívají chyb v softwaru, aby dokázali ovládnout něčí mobil či počítač. Existují dokonce ceníky, za kolik takovou chybu je možné prodat, pokud ji člověk odhalí. Například díra v operačním systému iPhonu se ohodnocuje na miliony dolarů. Za ohodnocením poptávaných chyb se skrývá příběh o nekonečném závodu ve zbrojení: odměny za nalezení chyby za pět let zdvojnásobily.
Firmy jako Crowdfense si cení chyb v softwaru nad zlato. Jejich byznys model je postavený na tom, že nabídnou obrovské peníze za nalezení „díry“ v softwaru, kterou pak se svým vlastním logem prodají například cizí vládě či firmě, která vyvíjí spyware.
Minulý týden startup Crowdfense zveřejnil aktualizované ceníky, které umožní i laické veřejnosti nahlédnout do toho, za kolik se s chybami v softwaru může obchodovat. Když v roce 2019 firma zveřejnila svou poptávku, tak si chybu v operačním systému iOS, který pohání iPhony, cenila až na tři miliony dolarů. Teď je to po pěti letech dvojnásobek. Nemůže za to zdivočelá inflace, ale stále větší prostředky investované do kybernetické bezpečnosti.
Právě giganti jako Apple či Google si zkrátka nemohou dovolit, aby jejich vlajkové lodě představovaly pro uživatele bezpečnostní riziko, už jenom proto, že je používají i politici a vlivní byznysmeni. Přesto se zero-days, jak se nazývají tyto chyby, o nichž vývojáři zatím nevědí a nemohou je opravit, nikdy stoprocentně podchytit nedají. Podle dat Googlu v roce 2023 někdo zneužil 97 takových programovacích minel. Není to tolik jako v rekordním roce 2021, kdy se případy této hrozby skokově zněkolikanásobily na číslo 106 a od té doby zůstávají na podobných hodnotách. Roky předtím se však hladina pohybovala kolem třiceti.
Odměny pro „hledače chyb“ jsou tak vysoké, protože zatímco před několika lety to mohl zvládnout i jednotlivec, dnes je potřeba k nalezení celý tým odborníků. „Opatření, která prodejci zavádějí, fungují, a to se odráží i v ceně,“ řekl pro TechCrunch Paolo Stagno, ředitel výzkumu ve společnosti Crowdfense.
Jen pro ilustraci. Nejvíce žádané jsou chyby umožňující nahlédnout do něčích SMS, a to ještě ideálně bez toho, aby oběť musela klikat na podezřelé odkazy. Podobný princip používal třeba spyware Pegasus, který byl centrem obřího špehovacího skandálu v několika evropských zemí včetně sousedního Polska. Za tuhle díru by Crowdfense zaplatil až devět milionů dolarů. Prolomení iOS by vyšlo na šest milionů, Androidu pak na pět milionů. Žádané jsou i díry v aplikacích jako WhatsApp či iMessage po pěti milionech dolarů.
Tento článek je součástí balíčku PREMIUM.
Odemkněte si exkluzivní obsah a videa!
