За эксплойт 0-Click в WhatsApp* дадут миллион долларов на Pwn2Own

Екатерина Быстрова 01 Августа 2025 - 15:38

...

За эксплойт 0-Click в WhatsApp* дадут миллион долларов на Pwn2Own

Этой осенью у исследователей в области кибербезопасности появился мощнейший стимул проверить WhatsApp* на прочность. Организаторы хакерского конкурса Pwn2Own объявили о награде в 1 миллион долларов за уязвимость в WhatsApp, которая позволяет удалённо выполнить код без каких-либо действий со стороны пользователя — так называемый zero-click RCE-эксплойт.

Это — самая крупная награда в истории Pwn2Own, и её удалось обеспечить благодаря партнёрству с компанией Meta (признана экстремистской и запрещена в России), которая владеет мессенджером и в этом году выступает соорганизатором конкурса.

Соревнование пройдёт с 21 по 24 октября 2025 года в офисе Zero Day Initiative (ZDI) в городе Корк (Ирландия).

«Мы ввели категорию WhatsApp в прошлом году, но никто не рискнул. Может, теперь, когда в сумме два ноля с запятыми, мотивации станет больше», — иронично комментируют организаторы.

Миллион выплачивается строго за эксплойт без клика, с помощью которой можно захватить контроль над устройством через WhatsApp. Очевидно, что Meta (признана экстремистской и запрещена в России) заинтересована в усилении безопасности мессенджера: им пользуются более трёх миллиардов человек по всему миру, и это лакомый кусок для злоумышленников.

Конкурс, как и обычно, охватывает и другие устройства. В этом году в программе восемь категорий, включая:

iPhone 16 Pro и Samsung Galaxy S24 — призы от $50 000 до $300 000;
Атаки через USB — новый вектор, теперь можно демонстрировать уязвимости с физическим доступом;
SOHO Smashup — за взлом двух устройств для малого бизнеса за 30 минут можно получить $100 000;
Умный дом, принтеры, NAS-хранилища, камеры и носимая электроника, включая очки Meta Ray-Ban и гарнитуры Quest 3/3S.

В списке спонсоров — компании Synology, QNAP, Brother, Canon, HP и другие.

В прошлом году участникам удалось заработать $1 066 625 за более чем 70 уникальных уязвимостей, и в этом году планка, похоже, поднимется ещё выше.

* принадлежит корпорации Meta, признанной экстремистской и запрещённой в России

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Взломан сайт аэропорта Пулково

Яков Шпунт 19 Сентября 2025 - 14:09

Атаки на сайты Взлом сайтов Кибервойны Целевые атаки Таргетированные атаки Общее

Аэропорт Пулково сообщил о взломе официального сайта. При этом сам аэропорт продолжает работать в штатном режиме. Сначала при заходе на сайт пользователи видели сообщение о технических работах, а позже страница начала перенаправлять на онлайн-табло Яндекса.

«Сайт аэропорта Пулково сегодня был взломан. Его работа на данный момент ограничена. Приносим извинения за временные неудобства. Ведутся работы по восстановлению», — сообщили в телеграм-канале Пулково.

Как уточнили в пресс-службе аэропорта, атака не затронула другие системы: приём и отправка рейсов проходит без сбоев.

«Взлом сайта — это не взлом компании. Да, подобные случаи заметны и сразу попадают в новости, но сам сайт — лишь точка входа. Если инфраструктура выстроена правильно, дальше дело не пойдёт. Обычно сайты размещаются в изолированной среде и имеют только необходимые подключения к внешним сервисам. Поэтому пока причин для паники нет», — прокомментировал ТАСС Сергей Полунин, глава группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

Напомним, днём ранее сообщалось о сбое в работе авиакомпании «КрасАвиа», с большой вероятностью вызванном кибератакой.

В конце июля также произошла атака на «Аэрофлот», ответственность за которую взяли две проукраинские хактивистские группировки. Тогда были отменены несколько десятков рейсов.