Hackwedstrijd looft 1 miljoen dollar uit voor zero-click WhatsApp-exploit
Hackwedstrijd Pwn2Own heeft een beloning van 1 miljoen dollar uitgeloofd voor onderzoekers die tijdens het evenement een zero-click WhatsApp-exploit demonstreren. Bij een dergelijke aanval is er geen enkele interactie van de gebruiker vereist om code op de onderliggende smartphone uit te voeren. Dit soort kwetsbaarheden zijn in het verleden misbruikt om spyware zoals Pegasus op smartphones te installeren.
Pwn2Own is een wedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden in software en hardware. Er zijn verschillende edities van Pwn2Own waarbij verschillende categorieën centraal staan. Zo zijn er edities met betrekking tot automotive, IoT-apparaten en industriële controlesystemen. Van 21 oktober tot en met 24 oktober vindt Pwn2Own Ireland plaats. De wedstrijd biedt onderzoekers verschillende categorieën, waaronder smartphones, WhatsApp, printers, NAS-apparaten, wearables, smart home devices en surveillancesystemen.
De hoogste beloning tijdens Pwn2Own Ireland is te verdienen met een zero-click exploit voor WhatsApp waardoor remote code execution mogelijk is. Vorig jaar bood Pwn2Own voor de demonstratie van een dergelijke aanval nog een beloning van 300.000 dollar, maar geen enkele onderzoeker kwam met een inzending. Volgens de Pwn2Own-organisatie was dat bedrag te laag. De beloning is nu dankzij samenwerking met Meta verhoogd.
Andere hoge beloningen worden uitgeloofd voor het op afstand compromitteren van een Google Pixel 9 of Apple iPhone 16. Dit levert onderzoekers 300.000 dollar op. De aanval moet dan gaan via NFC (near field communication), wifi, bluetooth of baseband. Dit jaar is voor het eerst de usb-poort van de telefoons ook als aanvalsvector toegevoegd. Een succesvolle aanval via usb wordt beloond met een bedrag van 75.000 dollar.
De overige categorieën hebben veel lagere beloningen. Het compromitteren van een printer is bijvoorbeeld goed voor een bedrag van 20.000 dollar. Kwetsbaarheden die onderzoekers tijdens Pwn2Own demonstreren worden eerst met de betreffende leverancier gedeeld, die vervolgens een beveiligingsupdate kan ontwikkelen. Pas daarna mogen onderzoekers details openbaar maken.
Maar gelukkig zijn er altijd nog wel mensen die niet de bedoeling hebben om de exploit te verkopen aan de hoogste bieder.
Deze hebben het juiste morele kompas. :)
Het antwoord is ja op al je vragen. Al zullen zulke exploits hoogstwaarschijnlijk nooit voor de grote massa gebruikt worden, omdat ze dan te snel ontdekt worden en daar te kostbaar voor zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?