شرکت روسی Operation Zero، که در زمینه‌ی خرید و فروش آسیب‌پذیری‌های نرم‌افزاری به مشتریان روس فعالیت می‌کند، برای اکسپلویت‌های خاصی در پیام‌رسان تلگرام حاضر است تا ۴ میلیون دلار بپردازد. این شرکت به‌دنبال روش‌هایی است که امکان اجرای کد از راه دور (RCE) را فراهم کنند و بسته‌به میزان پیچیدگی و اثربخشی اکسپلویت، مبالغ متفاوتی در نظر می‌گیرد.

به‌گزارش تک‌کرانچ، Operation Zero برای اکسپلویت از نوع One-Click RCE تا ۵۰۰ هزار دلار، برای Zero-Click RCE تا ۱٫۵ میلیون دلار و برای زنجیره‌ی کامل اکسپلویت تا ۴ میلیون دلار جایزه می‌پردازد. زنجیره‌ی کامل اکسپلویت زمانی شکل می‌گیرد که چند آسیب‌پذیری به‌هم پیوسته، در نهایت کنترل کامل دستگاه را در اختیار حمله‌کننده قرار دهند. اکسپلویت‌های Zero-Click ارزش بالاتری دارند؛ زیرا بدون هرگونه تعامل کاربر عمل می‌کنند.

Operation Zero پیش‌تر نیز برای ابزارهای نفوذ کامل به دستگاه‌های اندروید و iOS جایزه‌ای ۲۰ میلیون دلاری اعلام کرده بود. درحال‌حاضر، بیش‌ترین جایزه‌ای که این شرکت برای چنین ابزاری می‌دهد، ۲٫۵ میلیون دلار است. به‌گفته‌ی کارشناسان امنیت، طی سال‌های اخیر قیمت اکسپلویت‌های روز-صفر (Zero-Day Exploit) رشد داشته و در سال ۲۰۲۳ برای واتساپ حتی به ۸ میلیون دلار هم رسید.

به گفته‌ی یک منبع آگاه از بازار اکسپلویت‌ها که نخواست نامش فاش شود، قیمت‌های اعلام‌شده برای آسیب‌پذیری‌های تلگرام نسبتاً پایین است؛ زیرا احتمال دارد شرکت قصد داشته باشد این حفره‌ها را بعداً با قیمت بالاتری به مشتریان دیگری بفروشد. همین منبع تأکید کرد تضمینی برای پرداخت مبالغ اعلام‌شده وجود ندارد و پرداخت نهایی منوط به معیارهای داخلی شرکت است که به‌صورت عمومی منتشر نمی‌شود.

تمایل Operation Zero به تلگرام، به محبوبیت این پیام‌رسان در روسیه و اوکراین نسبت داده می‌شود. هم‌زمانی این درخواست عمومی برای اکسپلویت‌های تلگرام با شرایط سیاسی فعلی باعث شده برخی تحلیل‌گران حدس بزنند که دولت روسیه مستقیماً دنبال آسیب‌پذیری‌های این برنامه است و این موضوع افزایش پاداش‌ها را توجیه می‌کند.

دولت اوکراین سال گذشته به دلایل امنیتی، استفاده از تلگرام را روی دستگاه‌های رسمی ممنوع کرد و آن را بستری برای جاسوسی احتمالی روسیه دانست. کارشناسان نیز از مدت‌ها پیش امنیت تلگرام را نقد می‌کنند؛ چرا که این برنامه به‌صورت پیش‌فرض از رمزنگاری سرتاسری (End-to-End Encryption) استفاده نمی‌کند و الگوریتم رمزنگاری آن انحصاری و غیرقابل بررسی است. در نتیجه، مکالمه‌های خصوصی (به‌ویژه در گروه‌ها) ممکن است برای سرورهای تلگرام قابل رؤیت باشد.

به‌گفته‌ی یکی دیگر از فعالان بازار آسیب‌پذیرهای روز-صفر، قیمت‌های اعلام‌شده توسط Operation Zero غیرمنطقی نیست؛ اما عواملی مانند انحصاری بودن و برنامه‌های فروش مجدد ممکن است روی مبلغ نهایی تأثیر بگذارد. سرگئی زلنیوک، مدیرعامل Operation Zero، به درخواست‌ها برای اظهارنظر پاسخی نداد.

آسیب‌پذیری روز-صفر به باگی اشاره دارد که هنوز برای سازندگان نرم‌افزار ناشناخته است و همین موضوع آن را برای شرکت‌هایی چون Operation Zero و دولت‌ها جذاب می‌کند. در روش اجرای کد از راه دور (RCE)، مهاجم می‌تواند بدون نیاز به دسترسی فیزیکی، کنترل برنامه یا سیستم‌عامل را در اختیار بگیرد و گونه‌های Zero-Click این اکسپلویت حتی نیازی به اقدام کاربر ندارند.

ساختار قیمت‌گذاری Operation Zero فقط برای حفره‌های تلگرام صدق می‌کند و مشخص نیست آیا خریداران خارج از حلقه‌ی مشتریان روسی این شرکت می‌توانند به چنین معامله‌ای دست پیدا کنند یا خیر.