A Trend Micro Zero Day Initiative (ZDI) történelmi bejelentést tett: 1 millió dolláros jutalmat ajánlott fel annak a kutatónak, aki képes bemutatni egy zero-click távoli kódfuttatási sérülékenységet (RCE) a WhatsApp alkalmazásban. Ez minden idők legnagyobb összegű nyereménye a Pwn2Own verseny történetében.
A versenyt Meta, Synology és QNAP is szponzorálja – ezzel is jelezve, milyen súlyos biztonsági kockázatokat jelent a világ legnépszerűbb üzenetküldő platformja, amelyet több mint 3 milliárd ember használ naponta.
🚨 Főbb tudnivalók röviden
| Téma | Részletek |
|---|---|
| 🎯 Célpont | WhatsApp zero-click RCE |
| 💵 Díjazás | $1,000,000 (kb. 360 millió Ft) |
| 🗓️ Dátum | 2025. október 21–24., Cork, Írország |
| 📌 Regisztrációs határidő | 2025. október 16. 17:00 (IST) |
| 🏁 Kategóriák száma | 8 versenykategória |
| 🔒 Fókusz | Nemzetállami támadások, APT fenyegetések |
🧨 Mi az a „zero-click” exploit?
A zero-click támadás a legveszélyesebb exploit típus, amelyhez nem szükséges a felhasználó interakciója. Egy üzenet kézbesítése elegendő lehet ahhoz, hogy a támadó átvegye az eszköz feletti irányítást – teljesen észrevétlenül.
A Pwn2Own 2025 verseny főnyereménye ilyen támadást céloz a WhatsApp alkalmazás ellen.
🛡️ Meta új irányvonala: proaktív védelem
A Meta aktív részvételével új korszak kezdődik a bug bounty versenyek világában. A vállalat felismerte, hogy az állami (nation-state) és APT típusú fenyegetések elleni védekezés csak úgy lehetséges, ha fehér kalapos hackerek is megkapják a megfelelő ösztönzést.
„A Meta annyira komolyan veszi a WhatsApp biztonságát, hogy 1 millió dolláros díjat ajánlottunk fel egy 0-click sérülékenységért.”
— ZDI közlemény
🧠 Kiterjesztett támadási felület és kategóriák
A verseny célja, hogy a kutatók feltérképezzék a WhatsApp teljes támadási felületét, beleértve:
- memóriahibák (memory corruption)
- logikai hibák (logic flaw)
- üzenetkezelési anomáliák
A verseny további nyolc kategóriában zajlik:
- Mobiltelefonok
- Üzenetküldő alkalmazások
- Otthoni hálózati eszközök
- Okosotthon eszközök
- Nyomtatók
- NAS (hálózati adattárolók)
- Megfigyelő rendszerek
- Viselhető technológia
Versenyeszközök többek között:
- Meta Ray-Ban Smart Glasses
- Meta Quest 3/3S
- Samsung Galaxy S25
- Google Pixel 9
- iPhone 16 (előzetes kiadás)
🔌 Új támadási vektorok: USB-n keresztüli hackelés
A 2025-ös versenyben először engedélyezett a USB-alapú támadás is. Ez azt jelenti, hogy a kutatók megpróbálhatják feltörni a telefonokat zárt képernyő mellett, pusztán fizikai kapcsolaton keresztül – ami rendkívül komoly biztonsági próbatételt jelent.
📝 Fejlesztői elvárások és felelős hibabejelentés
- A bejelentett hibákat 90 napon belül kell javítania a gyártónak
- A ZDI csak ezután hozza nyilvánosságra a technikai részleteket
- A cél: etikus kutatás, megelőzés, biztonság
📊 Előző évi összegzés
| Mutató | 2024-es adatok |
|---|---|
| 💵 Kifizetett díj | $1,066,625 |
| 🐛 Felfedezett 0-day | 70+ |
| 🤝 Résztvevő cégek | többek között: Canon, HP, Synology, Meta |
🤔 Miért fontos mindez?
A WhatsApp világszerte használt kommunikációs platform – így egy súlyos sérülékenység milliárdokat érinthet. A Pwn2Own célja, hogy ezekre előbb a jófiúk találjanak rá, ne a kiberbűnözők.
