Hackpoging WhatsApp voor 1 miljoen dollar op laatste moment afgeblazen
Onderzoekers zouden gisteren tijdens de Pwn2Own-wedstrijd in het Ierse Cork een hack van WhatsApp demonstreren waarvoor ze een beloning van 1 miljoen dollar zouden krijgen, maar besloten de poging op het laatste moment af te blazen. Volgens de onderzoekers was hun onderzoek nog niet ver genoeg voor een openbare demonstratie.
Pwn2Own is een wedstrijd waarbij onderzoekers worden beloond voor het laten zien van onbekende kwetsbaarheden in software en hardware. Er zijn verschillende edities van Pwn2Own waarbij meerdere categorieën centraal staan. Zo zijn er edities met betrekking tot automotive, IoT-apparaten en industriële controlesystemen. Van 21 oktober tot en met 24 oktober vindt Pwn2Own Ireland plaats. De wedstrijd biedt onderzoekers verschillende categorieën, waaronder smartphones, WhatsApp, printers, NAS-apparaten, wearables, smart home devices en surveillancesystemen.
De hoogste beloning tijdens Pwn2Own Ireland is te verdienen met een zero-click-exploit voor WhatsApp waardoor remote code execution op het systeem van WhatsApp-gebruikers mogelijk is, zonder dat daarbij enige interactie van de gebruiker is vereist. Vorig jaar bood Pwn2Own voor de demonstratie van een dergelijke aanval nog een beloning van 300.000 dollar, maar geen enkele onderzoeker kwam met een inzending. Volgens de Pwn2Own-organisatie was dat bedrag te laag. De beloning werd nu dankzij samenwerking met Meta verhoogd tot een bedrag van 1 miljoen dollar.
Een groep onderzoekers genaamd Team Z3 had aangekondigd dat ze een zero-click-aanval op WhatsApp zouden demonstreren. Wedstrijdorganisatie ZDI had ook een livestream van de demonstratie aangekondigd. In een verklaring op X liet ZDI vervolgens weten dat de hackpoging vanwege vertraagde vluchten en "travel complications" niet live zou worden uitgezonden. De poging zou echter nog wel doorgaan.
Gisterenavond publiceerde ZDI een verklaring waarin het laat weten dat Team Z3 de hackpoging heeft teruggetrokken, omdat die nog niet klaar was voor een publieke demonstratie. De onderzoekers zullen nu hun bevindingen met ZDI delen, waarna het securitybedrijf die na een eerste inspectie met Meta zal delen, zodat het bedrijf indien nodig een beveiligingsupdate kan ontwikkelen. Als het de onderzoekers was gelukt, was de 1 miljoen dollar het hoogste bedrag dat ooit tijdens een hackwedstrijd zou zijn uitgekeerd.
Een 0-click WhatsApp exploit die RCE mogelijk maakt op dus zo ongeveer iedere telefoon is véél meer waard dan 1.000.000 dollar. Kan dus maar zo zijn dat ze een veel beter aanbod hebben gehad...
Er kan zich bijvoorbeeld een hoger bod aangediend hebben, dan die miljoen.
LLM's hallucineren niet, schrijven waarheid, en nog fanatiek ook!
gebeurt bijna nooit..
haha. De brug was open en de hond had het huiswerk opgegeten.
Ze waren _bijna_ klaar en door niet te reizen hadden ze nog een 1.5 dag werktijd om "laatste dingen" af te maken.
En nu is het net niet gelukt. Dat is wel zuur, $1M mislopen. Waarschijnlijk is de normale bug bounty een stuk lager.
?????
Tussen het scherm en het toetsenbord zit de computer! Als je er tussenzit dan zit je dus op de computer.....
Klinkt erg logisch jou conclusie!
Een 0-click WhatsApp exploit die RCE mogelijk maakt op dus zo ongeveer iedere telefoon is véél meer waard dan 1.000.000 dollar. Kan dus maar zo zijn dat ze een veel beter aanbod hebben gehad...
Als jij directeur zou zij van een security bedrijf , met wie ga je dan zakelijk in zee voor miljoenen deals ?
"vladimir op telegram" ?
"Salvatore uit palermo" ?
En wie vertel je uberhaupt dat je "bijna" een whatsapp exploit hebt ?
?????
Tussen het scherm en het toetsenbord zit de computer! Als je er tussenzit dan zit je dus op de computer.....
Klinkt erg logisch jou conclusie!
De rebel in propaganda sales (ook wel eens marketing genoemd)
Even een schuursponsje over de schurken heen:
Ik ben benieuwd wat voor een spannende dingen gebruikers tijdens hun reis zoal gaan meemaken! Een hotelkamerdeursleutel hacker? Zal mij niets verbazen, iemand moet het netwerk doorlichten!
https://schurq.nl/nieuws/toekomst-van-softwarebediening-ai-gestuurde-gui-automatisering-onthuld/
Uit 2024, maar goed.
Een 0-click WhatsApp exploit die RCE mogelijk maakt op dus zo ongeveer iedere telefoon is véél meer waard dan 1.000.000 dollar. Kan dus maar zo zijn dat ze een veel beter aanbod hebben gehad...
Als jij directeur zou zij van een security bedrijf , met wie ga je dan zakelijk in zee voor miljoenen deals ?
"vladimir op telegram" ?
"Salvatore uit palermo" ?
En wie vertel je uberhaupt dat je "bijna" een whatsapp exploit hebt ?
Je vertelt het de organisatoren van Pwn2Own, dat je zo'n hack wilt gaan demonstreren.
Wat gebruikt Salvatore uit Palermo als communicatieapp? Die van het Vaticaan? Of toch maar de nieuwste versie uit het lab van unit 8200? Of doe eens gek, die van P2, als die het nog doet.
Ik weet trouwens niet of Vladimir P. uit R. persoonlijk op Telegram zit, ik vraag mij af of die man uberhaupt een smartphone heeft. Is die man ooit gezien met zo'n ding?
Hij is wel in de buurt van de Russische 50 qubit quantum computer gezien, dat dan weer wel.
Dan hebben we nog die rare snuiter, de Russische versie van Musk, die Durov. Misschien heeft hij wel geboden op het prototype van de zero-click aanval op Whats app. Of toch Zuckerberg of Musk?
Misschien dat de EU er iets meer dan een miljoen voor over heeft, want dat was toch de wens met chatcontrol? Dan hoeven ze die Zuckerberg ook niet lastig te gaan vallen met juridische procedures, gewoon onderhands en achterbaks geregeld.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Site Reliability Engineer
NFI
Ben je thuis in het installeren, ontwikkelen en beheren van een groot aantal Linux-systemen? Als jij graag de handen uit de mouwen steekt, zowel thuis bent in software als hardware en oog hebt voor auto-matisering en vernieuwing, dan willen wij jou in ons team!
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?