1 000 000 долларов за 0-click взлом WhatsApp
Организаторы крупнейшего хакерского соревнования Pwn2Own объявили награду за взлом мессенджера WhatsApp, не требующий от пользователя ни единого клика. Аудитория мессенджера превышает три миллиарда пользователей и потому потенциальные последствия уязвимости могут быть колоссальными.
Соревнование Pwn2Own Ireland 2025 пройдёт с 21 по 24 октября в ирландском городе Корк. Основными спонсорами в этом году выступают Meta, а также производители оборудования Synology и QNAP. Организаторы отмечают, что WhatsApp был включен в конкурсную программу ещё в прошлом году, но тогда никто не рискнул атаковать мессенджер.
В этом году за демонстрацию полноценной уязвимости нулевого взаимодействия (zero-click) в WhatsApp можно будет получить миллион долларов. Это рекордная сумма в истории конкурса, и на этот раз она обещана за эксплойт, не требующий от пользователя ни единого клика. Организаторы полагают, что на фоне подобного приза у участников может появиться дополнительная мотивация.
Кроме главного приза, предусмотрены и другие вознаграждения за эксплойты WhatsApp. Общая программа Pwn2Own охватывает восемь категорий, включая смартфоны, приложения для общения, роутеры и устройства «умного дома», принтеры, системы хранения данных, камеры видеонаблюдения и носимую электронику. Среди тестируемых гаджетов значатся очки Ray-Ban Smart Glasses и шлемы виртуальной реальности Quest 3/3S от Meta, а также флагманские смартфоны Samsung Galaxy S25, Google Pixel 9 и iPhone 16.
Интересным дополнением стало расширение допустимых векторов атаки для мобильной категории. Теперь, помимо беспроводных каналов — Wi-Fi, Bluetooth и NFC — допускаются атаки через USB. То есть участники смогут подключать заблокированные смартфоны напрямую и пытаться получить доступ через физический интерфейс, не обходясь только сетевыми протоколами.
Заявки на участие принимаются до 16 октября включительно, а порядок выступлений будет определен случайной жеребьёвкой. Как и прежде, найденные уязвимости будут переданы вендорам для закрытия, причем у них будет 90 дней на выпуск обновлений до момента публичного раскрытия технических деталей. Это правило остается неизменным и служит цели своевременного исправления потенциально опасных багов до того, как ими смогут воспользоваться злоумышленники.
«Детали», Ю.Л. Фото: Depositphotos.com
Будьте всегда в курсе главных событий:
Подписывайтесь на ТГ-канал "Детали: Новости Израиля"
