Uma empresa recém-criada nos Emirados Árabes Unidos, a Advanced Security Solutions, está disposta a pagar até US$ 20 milhões por vulnerabilidades inéditas capazes de comprometer qualquer smartphone por meio de uma simples mensagem de texto.
Lançada neste mês, a companhia passou a divulgar um dos maiores valores já publicados no mercado de zero-day — falhas desconhecidas pelos desenvolvedores dos sistemas afetados. Essas brechas são procuradas por agências de inteligência e forças de segurança em todo o mundo para operações de investigação e vigilância.
Lista de recompensas
Além do prêmio máximo voltado a qualquer sistema operacional móvel, a tabela da empresa inclui:
- US$ 15 milhões por falhas que permitam atacar especificamente iPhones ou dispositivos Android;
- US$ 10 milhões para vulnerabilidades em Windows;
- US$ 5 milhões para atingir o navegador Chrome;
- US$ 1 milhão para brechas no Safari, no Microsoft Edge e em outros softwares.
Para mensageiros criptografados, a Advanced Security Solutions oferece US$ 2 milhões por falhas em Telegram, Signal e WhatsApp.
Clientes e origem desconhecidos
Em seu site, a empresa afirma “capacitar agências governamentais, serviços de inteligência e autoridades policiais” e manter “cooperação contínua com mais de 25 governos”. Também declara que a equipe é formada somente por profissionais com mais de 20 anos de atuação em unidades de elite de inteligência e em empresas militares privadas.
No entanto, a startup não revela quem são seus proprietários, investidores ou clientes. Questionada pela reportagem, a companhia não respondeu se impõe restrições éticas ou legais sobre a venda de suas ferramentas.
Análise do mercado
Um pesquisador que atua nesse segmento disse ao TechCrunch, sob anonimato, que os valores anunciados estão “dentro da média” atual, embora considere o topo de US$ 20 milhões “baixo, dependendo do grau de escrúpulo de quem compra”. O especialista também afirmou que não negociaria com uma organização que não identifique publicamente seus responsáveis.
Nos últimos dez anos, o mercado de zero-day cresceu tanto em número de empresas quanto em preços. Em 2015, a Zerodium oferecia até US$ 1 milhão por uma falha em iPhones; três anos depois, a Crowdfense aumentou o valor para US$ 3 milhões. Em 2023, a mesma Crowdfense passou a pagar até US$ 7 milhões por brechas em iPhones e US$ 5 milhões em Android, além de US$ 8 milhões por vulnerabilidades no WhatsApp.
Outro player, a russa Operation Zero, chegou a publicar ofertas de até US$ 20 milhões, mas afirma vender somente ao governo da Rússia, o que restringe o número de pesquisadores dispostos — e legalmente aptos — a negociar.
Com ofertas consideradas agressivas, a Advanced Security Solutions tenta agora atrair pesquisadores dispostos a vender falhas críticas que possibilitem o acesso remoto e silencioso a dispositivos e aplicativos cada vez mais protegidos pelas fabricantes.
Com informações de TechCrunch