A Zero Day Initiative (ZDI) está a elevar a fasquia no mundo da cibersegurança, oferecendo uma recompensa recorde de 1 milhão de dólares (aproximadamente 950.000 euros) a quem conseguir demonstrar uma falha de segurança específica no WhatsApp. O desafio será o ponto alto do próximo concurso de hacking Pwn2Own Ireland 2025.
O prémio milionário destina-se a investigadores de segurança que descubram e explorem uma vulnerabilidade "zero-click" na popular plataforma de mensagens. Este tipo de falha é particularmente perigoso, pois permite a execução de código malicioso no dispositivo da vítima sem qualquer interação por parte desta, afetando potencialmente qualquer um dos mais de três mil milhões de utilizadores do serviço em todo o mundo.
Meta patrocina desafio para encontrar falhas no seu próprio serviço
Num movimento que demonstra um sério investimento na segurança da sua plataforma, a Meta, empresa-mãe do WhatsApp, é uma das co-patrocinadoras do evento, juntamente com a Synology e a QNAP. A competição decorrerá entre 21 e 24 de outubro em Cork, na Irlanda.
"Estamos entusiasmados por anunciar que a Meta é co-patrocinadora do evento deste ano, e eles esperam ver grandes exploits do WhatsApp. Estão tão entusiasmados que vamos oferecer 1.000.000 de dólares por uma falha 0-click no WhatsApp que leve à execução de código", anunciou a Zero Day Initiative. A organização acrescentou que "talvez um número com duas vírgulas forneça a motivação necessária", referindo-se ao facto de no ano passado ninguém ter tentado competir nesta categoria.
Um campo de batalha tecnológico diversificado
O Pwn2Own Ireland 2025 não se focará apenas no WhatsApp. O concurso está dividido em oito categorias que abrangem um vasto leque de tecnologia de consumo e empresarial, incluindo:
Telemóveis topo de gama como o Samsung Galaxy S25, Google Pixel 9 e Apple iPhone 16.
Dispositivos "wearable", como os óculos inteligentes Ray-Ban da Meta e os headsets de realidade virtual Quest 3/3S.
Equipamentos de rede doméstica, dispositivos de casa inteligente, impressoras e sistemas de armazenamento em rede (NAS).
Equipamento de vigilância.
A ZDI também expandiu os vetores de ataque para a categoria de telemóveis, incluindo agora a exploração através da porta USB. Isto significa que os concorrentes terão de tentar comprometer os telemóveis bloqueados através de uma ligação física, para além dos métodos tradicionais sem fios como Wi-Fi, Bluetooth e NFC.
Prazos e divulgação responsável
Os investigadores de segurança interessados em participar têm até às 16:00 (hora de Portugal Continental) do dia 16 de outubro para se inscreverem. Após uma vulnerabilidade ser demonstrada com sucesso durante o evento, os fabricantes afetados, como a Meta, têm um prazo de 90 dias para desenvolver e lançar as respetivas correções de segurança antes que a Zero Day Initiative as divulgue publicamente.
Esta política de divulgação responsável é um pilar do evento, garantindo que as falhas são corrigidas antes que possam ser exploradas por agentes maliciosos. Na edição anterior, o Pwn2Own Ireland atribuiu mais de 1 milhão de dólares em prémios pela descoberta de mais de 70 vulnerabilidades "zero-day" únicas.
Nenhum comentário
Seja o primeiro!