За эксплойт 0-Click в WhatsApp* дадут миллион долларов на Pwn2Own

Екатерина Быстрова 01 Августа 2025 - 15:38

...

За эксплойт 0-Click в WhatsApp* дадут миллион долларов на Pwn2Own

Этой осенью у исследователей в области кибербезопасности появился мощнейший стимул проверить WhatsApp* на прочность. Организаторы хакерского конкурса Pwn2Own объявили о награде в 1 миллион долларов за уязвимость в WhatsApp, которая позволяет удалённо выполнить код без каких-либо действий со стороны пользователя — так называемый zero-click RCE-эксплойт.

Это — самая крупная награда в истории Pwn2Own, и её удалось обеспечить благодаря партнёрству с компанией Meta (признана экстремистской и запрещена в России), которая владеет мессенджером и в этом году выступает соорганизатором конкурса.

Соревнование пройдёт с 21 по 24 октября 2025 года в офисе Zero Day Initiative (ZDI) в городе Корк (Ирландия).

«Мы ввели категорию WhatsApp в прошлом году, но никто не рискнул. Может, теперь, когда в сумме два ноля с запятыми, мотивации станет больше», — иронично комментируют организаторы.

Миллион выплачивается строго за эксплойт без клика, с помощью которой можно захватить контроль над устройством через WhatsApp. Очевидно, что Meta (признана экстремистской и запрещена в России) заинтересована в усилении безопасности мессенджера: им пользуются более трёх миллиардов человек по всему миру, и это лакомый кусок для злоумышленников.

Конкурс, как и обычно, охватывает и другие устройства. В этом году в программе восемь категорий, включая:

iPhone 16 Pro и Samsung Galaxy S24 — призы от $50 000 до $300 000;
Атаки через USB — новый вектор, теперь можно демонстрировать уязвимости с физическим доступом;
SOHO Smashup — за взлом двух устройств для малого бизнеса за 30 минут можно получить $100 000;
Умный дом, принтеры, NAS-хранилища, камеры и носимая электроника, включая очки Meta Ray-Ban и гарнитуры Quest 3/3S.

В списке спонсоров — компании Synology, QNAP, Brother, Canon, HP и другие.

В прошлом году участникам удалось заработать $1 066 625 за более чем 70 уникальных уязвимостей, и в этом году планка, похоже, поднимется ещё выше.

* принадлежит корпорации Meta, признанной экстремистской и запрещённой в России

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Яков Шпунт 05 Декабря 2025 - 17:16

Домашние пользователи Государство Системы аутентификации

Многие не могут попасть в Госуслуги без MAX

Некоторые пользователи при входе в приложение Госуслуги столкнулись с предложением подключить мессенджер MAX для получения кодов подтверждения. При этом пропустить экран с таким уведомлением невозможно. Судя по всему, новое окно с безальтернативным выбором российского мессенджера появляется у тех, кто ещё не настроил двухфакторную аутентификацию, однако для её изменения всё равно требуется зайти в аккаунт.

На проблему обратило внимание РИА Новости. Один из корреспондентов агентства лично столкнулся с тем, что пропустить экран с предложением использовать MAX для получения кодов подтверждения при входе в приложение невозможно.

Функция получения кодов через MAX появилась в августе 2025 года. Она доступна даже в случаях, когда пользователь не может получить СМС.

Как отмечает портал «Код Дурова», появление экрана с требованием подключить MAX не зависит от того, зарегистрирован ли пользователь Госуслуг в этом мессенджере.

По данным исследования «Кода Дурова», в десктопных версиях браузеров подобное “незакрываемое” окно появляется реже — даже при активации режима «Запросить настольную версию сайта» в мобильном браузере.

Однако этот способ не гарантирует полного обхода проблемы. Альтернативой может стать изменение настроек двухфакторной аутентификации непосредственно в мобильном приложении Госуслуг.

За эксплойт 0-Click в WhatsApp* дадут миллион долларов на Pwn2Own

Читайте также