La Iniciativa Día Cero ofrece una recompensa de $1 millón a los investigadores de seguridad que demostrarán un exploit de WhatsApp sin clic en su próximo concurso de piratería Pwn2Own Ireland 2025.
La recompensa récord apunta a fallas de seguridad de cero clics que permiten la ejecución de código sin interacción del usuario en la plataforma de mensajería utilizada por más de tres mil millones de personas en todo el mundo.
Meta, junto con Synology y QNAP, copatrocina la competencia Pwn2Own Ireland 2025, que se llevará a cabo del 21 al 24 de octubre en Cork, Irlanda.
“Como habrás adivinado por el título, nos complace anunciar que Meta copatrocina el evento de este año y esperan ver algunos grandes exploits de WhatsApp. “Están tan emocionados por ello que estamos aportando $1,000,000 para un error de WhatsApp de 0 clics que conduce a la ejecución de código”, la Iniciativa Día Cero anunciado Jueves.
“También tendremos premios en efectivo menores para otros exploits de WhatsApp, así que asegúrese de consultar la sección Mensajería para obtener todos los detalles. Introdujimos esta categoría el año pasado, pero nadie la intentó. Quizás un número con dos comas proporcione la motivación necesaria.”
El concurso incluye ocho categorías dirigidas a teléfonos móviles, aplicaciones de mensajería, equipos de redes domésticas, dispositivos domésticos inteligentes, impresoras, sistemas de almacenamiento en red, equipos de vigilancia y tecnología portátil, incluidos los Ray-Ban Smart Glasses y los auriculares Quest 3/3S de Meta, así como los teléfonos inteligentes insignia Samsung Galaxy S25, Google Pixel 9 y Apple iPhone 16.
La ZDI también ha ampliado los vectores de ataque para la categoría móvil para incluir la explotación del puerto USB para dispositivos móviles, lo que requiere que los concursantes comprometan los teléfonos bloqueados a través de conexiones físicas. Los protocolos inalámbricos tradicionales, como Wi-Fi, Bluetooth y comunicación de campo cercano, siguen siendo métodos de ataque válidos.
La inscripción cierra el 16 de octubre a las 17 horas. Hora estándar irlandesa, con el orden del concurso determinado mediante un sorteo aleatorio. La Iniciativa Día Cero opera el evento para identificar vulnerabilidades antes de que actores maliciosos puedan explotarlas, coordinando la divulgación responsable con los proveedores afectados.
Una vez que se explotan las fallas durante los eventos de Pwn2Own, los proveedores tienen 90 días para publicar actualizaciones de seguridad antes de que la Iniciativa Zero Day de Trend Micro las revele públicamente.
Evento Pwn2Own Irlanda del año pasado premiado con $1.078.750 por más de 70 vulnerabilidades únicas de día cero, y Viettel Cyber Security recaudó $205,000 por fallas demostradas en QNAP NAS, parlantes Sonos e impresoras Lexmark.
Fuente: bleepingcomputer.com