واتساپ هدف یک آسیب‌پذیری Zero-Click در Pwn2Own قرار گرفت

سجاد تیموری 3 هفته پیشآخرین بروزرسانی: مرداد ۱۳, ۱۴۰۴

۰ 7 زمان تقریبی مطالعه 2 دقیقه

واتساپ هدف یک آسیب‌پذیری Zero-Click در Pwn2Own قرار گرفت

Zero Day Initiative جایزه‌ای معادل ۱ میلیون دلار برای پژوهشگران امنیتی در نظر گرفته است که بتوانند یک اکسپلویت zero-click برای WhatsApp را در مسابقه هک آینده‌اش با عنوان Pwn2Own Ireland 2025 به نمایش بگذارند.

این جایزه رکوردشکن، آسیب‌پذیری‌های zero-click را هدف قرار می‌دهد؛ آسیب‌هایی که بدون هیچ‌گونه تعامل از سوی کاربر، منجر به code execution روی پلتفرم پیام‌رسانی‌ای می‌شوند که بیش از سه میلیارد کاربر در سراسر دنیا دارد.

شرکت Meta در کنار Synology و QNAP، از حامیان مالی رقابت Pwn2Own Ireland 2025 هستند که در بازه‌ی ۲۱ تا ۲۴ اکتبر در شهر Cork کشور Ireland برگزار خواهد شد.

Zero Day Initiative روز پنج‌شنبه اعلام کرد:

«همان‌طور که احتمالاً از عنوان حدس زده‌اید، با خوشحالی اعلام می‌کنیم که شرکت Meta یکی از اسپانسرهای این رویداد امسال است و آن‌ها امیدوارند شاهد اکسپلویت‌های جذابی برای WhatsApp باشند. آن‌قدر برای این موضوع هیجان‌زده‌اند که ما مبلغ ۱,۰۰۰,۰۰۰ دلار برای یک باگ zero-click در WhatsApp که منجر به code execution شود، اختصاص داده‌ایم.»

«ما همچنین جوایز نقدی کوچک‌تری برای سایر اکسپلویت‌های WhatsApp در نظر گرفته‌ایم؛ بنابراین حتماً بخش Messaging را برای اطلاعات کامل بررسی کنید. ما این دسته را سال گذشته معرفی کردیم، اما کسی سراغش نرفت. شاید این عدد که شامل دو ویرگول است (یعنی یک میلیون دلار)، انگیزه‌ی لازم را ایجاد کند.»

مسابقه شامل هشت دسته است که هدف آن‌ها گوشی‌های موبایل، اپلیکیشن‌های پیام‌رسان، تجهیزات شبکه خانگی، دستگاه‌های هوشمند خانگی، چاپگرها، سیستم‌های ذخیره‌سازی شبکه، تجهیزات نظارتی و فناوری پوشیدنی از جمله Ray-Ban Smart Glasses و هدست‌های Quest 3/3S شرکت Meta، همچنین گوشی‌های پرچمدار Samsung Galaxy S25، Google Pixel 9 و Apple iPhone 16 می‌باشد.

ZDI حوزه‌های حمله برای دسته موبایل را گسترش داده است تا شامل بهره‌برداری از درگاه USB برای دستگاه‌های موبایل شود، که در این حالت شرکت‌کنندگان باید از طریق اتصال فیزیکی، گوشی‌های قفل‌شده را هک کنند. پروتکل‌های بی‌سیم سنتی مانند Wi-Fi، Bluetooth و near-field communication همچنان روش‌های معتبر حمله باقی می‌مانند.

ثبت‌نام تا ساعت ۵ بعدازظهر به وقت استاندارد ایرلند در تاریخ ۱۶ اکتبر بسته می‌شود و ترتیب شرکت‌کنندگان در مسابقه از طریق قرعه‌کشی تعیین خواهد شد. Zero Day Initiative این رویداد را برگزار می‌کند تا آسیب‌پذیری‌ها را قبل از سوءاستفاده مهاجمان شناسایی کند و فرایند افشای مسئولانه را با فروشندگان آسیب‌دیده هماهنگ می‌نماید.

پس از اینکه آسیب‌پذیری‌ها در رویدادهای Pwn2Own مورد بهره‌برداری قرار گرفتند، فروشندگان ۹۰ روز فرصت دارند تا به‌روزرسانی‌های امنیتی را منتشر کنند، پیش از آنکه Zero Day Initiative شرکت Trend Micro آن‌ها را به‌صورت عمومی افشا کند.

رویداد Pwn2Own Ireland سال گذشته بیش از ۱,۰۷۸,۷۵۰ دلار بابت بیش از ۷۰ آسیب‌پذیری zero-day منحصر به فرد پرداخت کرد، که شرکت Viettel Cyber Security مبلغ ۲۰۵,۰۰۰ دلار بابت آسیب‌پذیری‌های نشان داده شده در QNAP NAS، بلندگوهای Sonos و چاپگرهای Lexmark دریافت نمود.