Os pesquisadores de segurança que participam da próxima competição Pwn2Own em Cork têm a chance de ganhar US$ 1 milhão se encontrarem um exploit de alto impacto no WhatsApp.
Os organizadores da competição, Zero Day Initiative (ZDI) da Trend Micro, explicaram no final da semana passada que apenas vulnerabilidades de clique zero que levam à execução de código seriam consideradas para o prêmio em dinheiro de seis dígitos, embora prêmios menores estejam disponíveis para outras explorações do WhatsApp.
“Introduzimos essa categoria no ano passado, mas ninguém tentou. Talvez um número com duas vírgulas forneça a motivação necessária”, disse o chefe de conscientização sobre ameaças da ZDI, Dustin Childs.
O próximo evento, que acontecerá no escritório da Trend Micro em Cork de 21 a 24 de outubro, é a segunda vez que a competição será realizada na Irlanda. É focado em produtos de consumo, com oito categorias selecionadas:
- Telemóveis
- Mensagens
- O SOHO Smashup
- Dispositivos domésticos inteligentes
- Impressoras
- Dispositivos NAS
- Dispositivos de sistema de vigilância
- Wearables
A Meta é a principal patrocinadora do evento deste ano, com a Synology e a QNAP também investindo dinheiro na competição, além de ajudar a instalar e configurar dispositivos para os competidores investigarem bugs.
Leia mais sobre Pwn2Own: Pesquisadores descobrem mais de 70 bugs de dia zero na Pwn2Own Ireland
Como sempre, a ideia é incentivar alguns dos pesquisadores de segurança mais talentosos do mundo a encontrar exploits em uma variedade de produtos. Essas informações serão divulgadas de forma responsável para os fornecedores relevantes corrigirem, permitindo que a Trend Micro proteja os clientes com patches virtuais até que uma atualização completa esteja disponível.
“Ajustamos um pouco a categoria móvel adicionando um novo vetor de ataque USB para os telefones. Esperançosamente, veremos algumas pesquisas interessantes demonstrando o que pode acontecer se um agente de ameaça tiver acesso físico ao seu dispositivo”, disse Childs.
“No ano passado, concedemos US$ 1.066.625 por mais de 70 vulnerabilidades exclusivas de dia zero no concurso. Mal podemos esperar para ver se 2025 supera esse número – especialmente com uma recompensa de um milhão de dólares na mesa.”
Os aparelhos móveis ficarão no “centro deste evento”, com os competidores capazes de hackear um Samsung Galaxy S25, Google Pixel 9 e um Apple iPhone 16.
Outros produtos na competição incluirão dispositivos QNAP, Ubiquiti e Nest SOHO, dispositivos domésticos inteligentes Amazon, Philips e Sonos, fones de ouvido Meta Quest e óculos inteligentes Ray-Ban.
As explorações do WhatsApp com clique zero são frequentemente descobertas e monetizadas por empresas comerciais de spyware como o NSO Group, que o usou para entregar seu notório malware Pegasus.
Crédito da imagem: Diego Thomazini / Shutterstock.com