Тайна взлома WhatsApp на миллион долларов — что нам нужно знать

Pwn2Own WhatsApp уязвимость эксплойт Samsung Galaxy S25 Meta ZDI
Тайна взлома WhatsApp на миллион долларов — что нам нужно знать
Pwn2Own WhatsApp уязвимость эксплойт Samsung Galaxy S25 Meta ZDI

Заявленный нулевой клик для WhatsApp то ли есть, то ли нет.

image

23 октября запомнится пользователям смартфонов надолго. В этот день на соревновании Pwn2Own Ireland 2025 взломали Samsung Galaxy S25, получили доступ к камере и к отслеживанию геолокации. В тот же день индустрия информационной безопасности обсуждала другую сенсацию. Хакер под псевдонимом Eugene из команды Team Z3 якобы должен был показать нулевую уязвимость в WhatsApp с нулевым кликом, провести удалённое исполнение кода и забрать рекордный приз в 1 миллион долларов. Этого не случилось.

Сначала организаторы сообщили о переносе демонстрации из-за задержки рейса, затем выступление сняли с программы. Комментариев от самого хакера не последовало. Зато организатор Pwn2Own, инициатива Zero Day Initiative компании Trend Micro, объявил, что поможет провести согласованное раскрытие информации для Meta. Так загадка стала только глубже.

Руководитель направления по осведомлённости об угрозах в Trend Micro ZDI Дастин Чайлдс пояснил, что Team Z3 сняла заявку на WhatsApp, поскольку участники посчитали исследование неготовым для публичной демонстрации. Он добавил, что Meta по-прежнему заинтересована получить материалы, а команда передаёт выводы аналитикам ZDI для первичной оценки, после чего информация уйдёт инженерам Meta. Организаторы расстроены отсутствием публичного показа, но готовы содействовать координированному раскрытию, чтобы у производителя была возможность исправить проблемы, если они подтвердятся.

Сам участник ограничился короткой фразой в SecurityWeek. Он сказал, что всё решено держать между Meta, ZDI и им, и больше никаких комментариев давать не будет.

Pwn2Own собирает сильнейших специалистов по взлому, которые под присмотром организаторов находят и доказывают нулевые уязвимости в популярных продуктах, а затем передают все детали поставщикам. Это легальный формат. Он помогает закрывать реальные дыры в безопасности и повышает защиту пользователей. История с не состоявшейся демонстрацией в WhatsApp не меняет сути. Если баг существует, у Meta* есть шанс исправить его до того, как им воспользуются злоумышленники.

Пока остаются открытыми два вопроса. Существует ли уязвимость, которую готовила Team Z3, и насколько она опасна для пользователей. Мы следим за ситуацией и обновим материал, как только появятся комментарии от Meta или Trend Micro ZDI.