Хакерский конкурс Pwn2Own принесет 1 миллион долларов за уязвимость WhatsApp

Инициатива Zero Day Initiative предлагает вознаграждение в размере 1 миллиона долларов исследователям безопасности, которые продемонстрируют уязвимость WhatsApp без нажатия кнопки мыши на предстоящем хакерском конкурсе Pwn2Own Ireland 2025.

Рекордное вознаграждение направлено на устранение уязвимостей безопасности, позволяющих без взаимодействия с пользователем выполнять код на платформе обмена сообщениями, которой пользуется более трех миллиардов человек по всему миру.

Meta, наряду с Synology и QNAP, выступает соорганизатором конкурса Pwn2Own Ireland 2025, который пройдет с 21 по 24 октября в Корке, Ирландия.

«Как вы, возможно, догадались по названию, мы рады сообщить, что Meta выступает одним из спонсоров мероприятия этого года и надеется увидеть несколько отличных примеров использования WhatsApp. Они так воодушевлены этим, что готовы выделить 1 000 000 долларов на устранение уязвимости WhatsApp, которая приводит к выполнению кода без нажатия», — объявила в четверг организация Zero Day Initiative.

У нас также будут меньшие денежные вознаграждения за другие подвиги в WhatsApp, поэтому обязательно загляните в раздел «Сообщения» для получения полной информации. Мы ввели эту категорию в прошлом году, но никто не пробовал. Возможно, число с двумя запятыми обеспечит необходимую мотивацию.

WhatsApp Pwn2Own награды (ZDI)

Конкурс проводится в восьми категориях, охватывающих мобильные телефоны, приложения для обмена сообщениями, домашнее сетевое оборудование, устройства для умного дома, принтеры, сетевые системы хранения данных, оборудование для видеонаблюдения и носимые технологии, включая умные очки Ray-Ban от Meta и гарнитуры Quest 3/3S, а также флагманские смартфоны Samsung Galaxy S25, Google Pixel 9 и Apple iPhone 16.

ZDI также расширила векторы атак для мобильных устройств, включив в них использование USB-портов мобильных устройств, что требует от участников взлома заблокированных телефонов посредством физического подключения. Традиционные беспроводные протоколы, такие как Wi-Fi, Bluetooth и беспроводная связь ближнего радиуса действия, остаются допустимыми методами атак.

Регистрация закрывается 16 октября в 17:00 по ирландскому стандартному времени. Порядок участников определяется случайным образом. Инициатива Zero Day Initiative проводит мероприятие, выявляя уязвимости до того, как злоумышленники смогут ими воспользоваться, координируя ответственное раскрытие информации с затронутыми поставщиками.

После того, как уязвимости будут использованы во время мероприятий Pwn2Own, у поставщиков будет 90 дней на выпуск обновлений безопасности, прежде чем инициатива Zero Day Initiative компании Trend Micro публично их раскроет.

В прошлом году на мероприятии Pwn2Own Ireland было присуждено 1 078 750 долларов США за более чем 70 уникальных уязвимостей нулевого дня, а Viettel Cyber Security собрала 205 000 долларов США за недостатки, выявленные в QNAP NAS, колонках Sonos и принтерах Lexmark.