$1 миллион на кону. Хакеры отказались показывать уязвимость в WhatsApp на Pwn2Own, сославшись на «неготовность»

leer en español

whatsapp pwn2own zero-day meta хакеры
$1 миллион на кону. Хакеры отказались показывать уязвимость в WhatsApp на Pwn2Own, сославшись на «неготовность»
whatsapp pwn2own zero-day meta хакеры

Но Meta все равно получит данные.

image

Исследователи из команды Z3 отказались от демонстрации уязвимости в WhatsApp на хакерском турнире Pwn2Own Ireland 2025, хотя именно эта атака могла принести рекордный приз в $1 млн. Как пояснила Zero Day Initiative, команда решила не показывать эксплойт публично, сочтя исследование «недостаточно готовым».

Несмотря на это, Meta* заинтересована в результатах. Z3 передаст детали специалистам ZDI для предварительного анализа, а затем они будут направлены инженерам WhatsApp. Организаторы подчеркнули, что координируют процесс раскрытия уязвимости, чтобы разработчики смогли устранить проблему, если она подтвердится.

Соревнование проходило с 21 по 23 октября в ирландском Корке и собрало лучших специалистов по безопасности. Всего участники заработали $1 024 750, продемонстрировав эксплуатацию 73 zero-day уязвимостей

В этом году хакеры атаковали устройства в восьми категориях — от принтеров и NAS-систем QNAP и Synology до умных колонок, камер, домашних роутеров и флагманских смартфонов (iPhone 16, Galaxy S25 и Pixel 9). Впервые в истории турнира исследователи получили задачу взломать смартфон через физический USB-порт, даже при заблокированном экране.

Главным спонсором конкурса стала Meta, наряду с QNAP и Synology. Организатор — программа Trend Micro Zero Day Initiative, созданная для поиска уязвимостей до того, как ими воспользуются злоумышленники. После демонстрации у производителей есть 90 дней, чтобы выпустить патчи.

Победителем стала команда Summoning Team, набравшая 22 Master of Pwn-очков и заработавшая $187 500. Она успешно взломала Galaxy S25, несколько NAS-устройств Synology и QNAP, камеру CC400W и систему Home Assistant Green.

На втором месте — ANHTUD ($76 750 и 11,5 очков), третье заняла Synactiv ($90 000 и 11 очков).

Одним из заметных эпизодов стал взлом Samsung Galaxy S25 командой Interrupt Labs: специалисты нашли ошибку проверки ввода, позволившую активировать камеру и геолокацию устройства.

По данным ZDI, в первый день соревнований участники продемонстрировали эксплуатацию 34 уникальных zero-day уязвимостей и заработали $522 500, а во второй — ещё 22 эксплойта на сумму $267 500.

Следующий турнир серии — Pwn2Own Automotive 2026 в Токио, который вновь поддержит Tesla.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.