Pwn2Own Oferece US$ 1 Milhão por Exploit Zero-Day do WhatsApp

A Zero Day Initiative (ZDI) está oferecendo uma recompensa de US$ 1 milhão para pesquisadores de segurança que consigam demonstrar um exploit "zero-click" para o WhatsApp em sua próxima competição de hacking, a Pwn2Own Ireland 2025.

A recompensa recorde visa a descoberta de falhas de segurança do tipo "zero-click" (sem interação), que permitem a execução de código sem qualquer ação do usuário na plataforma de mensagens utilizada por mais de três bilhões de pessoas em todo o mundo. A descoberta de tal vulnerabilidade representaria um risco de segurança significativo.

A Meta, juntamente com a Synology e a QNAP, está copatrocinando a competição Pwn2Own Ireland 2025, que ocorrerá entre os dias 21 e 24 de outubro em Cork, na Irlanda.

"Como você deve ter adivinhado pelo título, estamos entusiasmados em anunciar que a Meta está copatrocinando o evento deste ano, e eles esperam ver ótimos exploits para o WhatsApp.

Eles estão tão empolgados que estamos oferecendo US$ 1.000.000 por uma falha '0-click' no WhatsApp que leve à execução de código", anunciou a Zero Day Initiative nesta quinta-feira.

"Também teremos prêmios em dinheiro menores para outros exploits do WhatsApp, então não deixe de conferir a seção de Mensagens para todos os detalhes. Introduzimos esta categoria no ano passado, mas ninguém a tentou. Talvez um número com duas vírgulas [no padrão americano, representando um milhão] forneça a motivação necessária."

A competição apresenta oito categorias que visam smartphones, aplicativos de mensagens, equipamentos de rede doméstica, dispositivos de casa inteligente, impressoras, sistemas de armazenamento em rede (NAS), equipamentos de vigilância e tecnologia vestível (wearables).

Entre os alvos estão os Óculos Inteligentes Ray-Ban e os headsets Quest 3/3S da Meta, bem como os principais smartphones do mercado, como o Samsung Galaxy S25, Google Pixel 9 e Apple iPhone 16.

A ZDI também expandiu os vetores de ataque para a categoria de dispositivos móveis, incluindo agora a exploração da porta USB. Isso exige que os competidores comprometam celulares bloqueados por meio de conexões físicas. Os protocolos sem fio tradicionais, como Wi-Fi, Bluetooth e NFC, continuam sendo métodos de ataque válidos.

O objetivo do evento, operado pela Zero Day Initiative, é identificar vulnerabilidades antes que hackers possam explorá-las, coordenando a divulgação responsável com os fabricantes afetados. Após as falhas serem exploradas durante os eventos Pwn2Own, os fabricantes têm 90 dias para lançar atualizações de segurança antes que a Zero Day Initiative (parte da Trend Micro) as divulgue publicamente.

As inscrições para a competição se encerram em 16 de outubro. No evento Pwn2Own Ireland do ano passado, foram concedidos US$ 1.078.750 por mais de 70 vulnerabilidades de dia zero (zero-day) únicas, com a Viettel Cyber Security recebendo US$ 205.000 por falhas demonstradas em NAS da QNAP, alto-falantes Sonos e impressoras Lexmark.

Via - BC