En su próximo concurso de hacking Pwn2Own Irlanda 202, Zero Day Initiative ofrece una
recompensa de un millón de dólares a investigadores de seguridad que
demuestren un exploit de WhatsApp sin necesidad de hacer clic.
Meta, junto con Synology y QNAP, copatrocinan el concurso Pwn2Own Irlanda
2025, que se celebrará del 21 al 24 de octubre en Cork, Irlanda. La recompensa
récord se centra en encontrar vulnerabilidades que permiten la ejecución de
código sin interacción del usuario en la plataforma de mensajería utilizada
por más de tres mil millones de personas en todo el mundo.
También tendran premios en efectivo menores por otros exploits de WhatsApp.
Esta categoría fue introducida el año pasado, pero nadie la intentó. Quizás un
número más grande les dé la motivación necesaria.
El concurso incluye ocho categorías dirigidas a teléfonos móviles,
aplicaciones de mensajería, equipos de redes domésticas, dispositivos
inteligentes para el hogar, impresoras, sistemas de almacenamiento en red,
equipos de vigilancia y tecnología wearable, incluyendo las gafas inteligentes
Ray-Ban y los auriculares Quest 3/3S de Meta, así como los smartphones
insignia Samsung Galaxy S25, Google Pixel 9 y Apple iPhone 16.
La ZDI también ha ampliado los vectores de ataque para la categoría móvil,
incluyendo la explotación de puertos USB en dispositivos móviles, lo que
requiere que los concursantes vulneren teléfonos bloqueados mediante
conexiones físicas. Los protocolos inalámbricos tradicionales, como Wi-Fi,
Bluetooth y la comunicación de campo cercano (NFC), siguen siendo métodos de
ataque válidos.
El plazo de inscripción finaliza el 16 de octubre a las 17:00 h (hora estándar
de Irlanda). El orden del concurso se determinará mediante un sorteo. La
Iniciativa Día Cero gestiona el evento para identificar vulnerabilidades antes
de que los actores maliciosos puedan explotarlas, coordinando la divulgación
responsable con los proveedores afectados.
Tras la explotación de las vulnerabilidades durante los eventos Pwn2Own, los
proveedores tienen 90 días para publicar actualizaciones de seguridad antes de
que la Iniciativa de Día Cero de Trend Micro las divulgue públicamente.
El evento Pwn2Own Ireland del año pasado
otorgó 1.078.750 dólares por más de 70 vulnerabilidades
Zero-Day únicas, y Viettel Cyber Security recaudó 205.000 dólares por las
vulnerabilidades detectadas en NAS de QNAP, altavoces Sonos e impresoras
Lexmark.
Fuente:
BC