واتساپ هدف یک آسیبپذیری Zero-Click در Pwn2Own قرار گرفت
Zero Day Initiative جایزهای معادل ۱ میلیون دلار برای پژوهشگران امنیتی در نظر گرفته است که بتوانند یک اکسپلویت zero-click برای WhatsApp را در مسابقه هک آیندهاش با عنوان Pwn2Own Ireland 2025 به نمایش بگذارند.
این جایزه رکوردشکن، آسیبپذیریهای zero-click را هدف قرار میدهد؛ آسیبهایی که بدون هیچگونه تعامل از سوی کاربر، منجر به code execution روی پلتفرم پیامرسانیای میشوند که بیش از سه میلیارد کاربر در سراسر دنیا دارد.
شرکت Meta در کنار Synology و QNAP، از حامیان مالی رقابت Pwn2Own Ireland 2025 هستند که در بازهی ۲۱ تا ۲۴ اکتبر در شهر Cork کشور Ireland برگزار خواهد شد.
Zero Day Initiative روز پنجشنبه اعلام کرد:
«همانطور که احتمالاً از عنوان حدس زدهاید، با خوشحالی اعلام میکنیم که شرکت Meta یکی از اسپانسرهای این رویداد امسال است و آنها امیدوارند شاهد اکسپلویتهای جذابی برای WhatsApp باشند. آنقدر برای این موضوع هیجانزدهاند که ما مبلغ ۱,۰۰۰,۰۰۰ دلار برای یک باگ zero-click در WhatsApp که منجر به code execution شود، اختصاص دادهایم.»
«ما همچنین جوایز نقدی کوچکتری برای سایر اکسپلویتهای WhatsApp در نظر گرفتهایم؛ بنابراین حتماً بخش Messaging را برای اطلاعات کامل بررسی کنید. ما این دسته را سال گذشته معرفی کردیم، اما کسی سراغش نرفت. شاید این عدد که شامل دو ویرگول است (یعنی یک میلیون دلار)، انگیزهی لازم را ایجاد کند.»
مسابقه شامل هشت دسته است که هدف آنها گوشیهای موبایل، اپلیکیشنهای پیامرسان، تجهیزات شبکه خانگی، دستگاههای هوشمند خانگی، چاپگرها، سیستمهای ذخیرهسازی شبکه، تجهیزات نظارتی و فناوری پوشیدنی از جمله Ray-Ban Smart Glasses و هدستهای Quest 3/3S شرکت Meta، همچنین گوشیهای پرچمدار Samsung Galaxy S25، Google Pixel 9 و Apple iPhone 16 میباشد.
ZDI حوزههای حمله برای دسته موبایل را گسترش داده است تا شامل بهرهبرداری از درگاه USB برای دستگاههای موبایل شود، که در این حالت شرکتکنندگان باید از طریق اتصال فیزیکی، گوشیهای قفلشده را هک کنند. پروتکلهای بیسیم سنتی مانند Wi-Fi، Bluetooth و near-field communication همچنان روشهای معتبر حمله باقی میمانند.
ثبتنام تا ساعت ۵ بعدازظهر به وقت استاندارد ایرلند در تاریخ ۱۶ اکتبر بسته میشود و ترتیب شرکتکنندگان در مسابقه از طریق قرعهکشی تعیین خواهد شد. Zero Day Initiative این رویداد را برگزار میکند تا آسیبپذیریها را قبل از سوءاستفاده مهاجمان شناسایی کند و فرایند افشای مسئولانه را با فروشندگان آسیبدیده هماهنگ مینماید.
پس از اینکه آسیبپذیریها در رویدادهای Pwn2Own مورد بهرهبرداری قرار گرفتند، فروشندگان ۹۰ روز فرصت دارند تا بهروزرسانیهای امنیتی را منتشر کنند، پیش از آنکه Zero Day Initiative شرکت Trend Micro آنها را بهصورت عمومی افشا کند.
رویداد Pwn2Own Ireland سال گذشته بیش از ۱,۰۷۸,۷۵۰ دلار بابت بیش از ۷۰ آسیبپذیری zero-day منحصر به فرد پرداخت کرد، که شرکت Viettel Cyber Security مبلغ ۲۰۵,۰۰۰ دلار بابت آسیبپذیریهای نشان داده شده در QNAP NAS، بلندگوهای Sonos و چاپگرهای Lexmark دریافت نمود.
