Depois de oferecer US$ 1 milhão por falha no iPhone, empresa mira Flash

A empresa de segurança Zerodium, que atua no mercado de brechas de segurança, anunciou uma oferta de US$ 100 mil (cerca de R$ 400 mil) por código capaz de explorar alguma vulnerabilidade inédita no Flash Player, um plug-in de navegador usado na web para reproduzir alguns vídeos, animações e conteúdo interativo.

O Flash é executado por todos os principais navegadores web em computadores, mas não é mais usado em celulares. Por ser um programa tão comum, uma falha no Flash pode ser usada contra quase qualquer internauta. A coluna Segurança Digital já está recomendando que internautas avaliem se precisam mesmo manter o Flash ativo. Certos conteúdos não funcionam sem o Flash, mas nem todos necessitam desses conteúdos - desativar o Flash, assim, aumenta a segurança.

A Zerodium ganhou fama ao oferecer até US$ 1 milhão (cerca de R$ 4 milhões) por uma vulnerabilidade capaz de comprometer completamente sistemas iOS, como os celulares iPhone e tablets iPad. A recompensa foi oferecida logo após a fundação da empresa por Chaouki Bekrar, que também fundou a empresa de segurança Vupen.

A Zerodium, assim como a Vupen, não tem interesse em comunicar os desenvolvedores de software sobre as falhas que descobrem ou que compram. Eles apenas vendem as informações como parte de serviços de consultoria ou outros acordos. Quem encontra e vende a falha para a empresa também não pode compartilhar as informações com terceiros - tudo é exclusivo.

A companhia não faz segredo sobre os valores que paga. Embora a oferta para o iOS tenha sido excepcional, a empresa diz que falhas no sistema móvel da Apple ainda podem valer até US$ 500 mil. Brechas em programas usados por sites web, como o Drupal, valem até US$ 10 mil (R$ 40 mil).

A escala de pagamento da Zerodium. (Foto: Reprodução)

Os valores de brechas para navegadores variam muito. A empresa diz que paga até US$ 30 mil por brechas básicas no Chrome, Firefox, Edge e Safari, mas o valor pode subir para US$ 80 mil se for uma brecha completa para o Chrome. Vulnerabilidades no leitor de PDF Adobe Reader também podem valer essa mesma quantia.

O Flash também fica normalmente nessa faixa de US$ 80 mil, mas a empresa aumentou a oferta em um post no Twitter.

As brechas mais valiosas são as que afetam os sistemas de celulares, como Android e Windows Phone. No topo da lista, estão as falhas para o iOS, da Apple. Sistemas para desktop não são tão valorizados: uma brecha no Linux, Windows ou OS X vale "apenas" US$ 30 mil.

FONTE:G1