Hackwedstrijd Pwn2Own heeft een beloning van 1 miljoen dollar uitgeloofd voor onderzoekers die tijdens het evenement een zero-click WhatsApp-exploit demonstreren. Bij een dergelijke aanval is er geen enkele interactie van de gebruiker vereist om code op de onderliggende smartphone uit te voeren. Dit soort kwetsbaarheden zijn in het verleden misbruikt om spyware zoals Pegasus op smartphones te installeren.
Pwn2Own is een wedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden in software en hardware. Er zijn verschillende edities van Pwn2Own waarbij verschillende categorieën centraal staan. Zo zijn er edities met betrekking tot automotive, IoT-apparaten en industriële controlesystemen. Van 21 oktober tot en met 24 oktober vindt Pwn2Own Ireland plaats. De wedstrijd biedt onderzoekers verschillende categorieën, waaronder smartphones, WhatsApp, printers, NAS-apparaten, wearables, smart home devices en surveillancesystemen.
De hoogste beloning tijdens Pwn2Own Ireland is te verdienen met een zero-click exploit voor WhatsApp waardoor remote code execution mogelijk is. Vorig jaar bood Pwn2Own voor de demonstratie van een dergelijke aanval nog een beloning van 300.000 dollar, maar geen enkele onderzoeker kwam met een inzending. Volgens de Pwn2Own-organisatie was dat bedrag te laag. De beloning is nu dankzij samenwerking met Meta verhoogd.
Andere hoge beloningen worden uitgeloofd voor het op afstand compromitteren van een Google Pixel 9 of Apple iPhone 16. Dit levert onderzoekers 300.000 dollar op. De aanval moet dan gaan via NFC (near field communication), wifi, bluetooth of baseband. Dit jaar is voor het eerst de usb-poort van de telefoons ook als aanvalsvector toegevoegd. Een succesvolle aanval via usb wordt beloond met een bedrag van 75.000 dollar.
De overige categorieën hebben veel lagere beloningen. Het compromitteren van een printer is bijvoorbeeld goed voor een bedrag van 20.000 dollar. Kwetsbaarheden die onderzoekers tijdens Pwn2Own demonstreren worden eerst met de betreffende leverancier gedeeld, die vervolgens een beveiligingsupdate kan ontwikkelen. Pas daarna mogen onderzoekers details openbaar maken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.