WhatsApp, una taglia da 1 milione di dollari su exploit zero-click: la sfida del Pwn2Own 2025

La Zero Day Initiative (ZDI) di Trend Micro svela per l’edizione 2025 di Pwn2Own Ireland una ricompensa senza precedenti: 1.000.000 di dollari a chi riuscirà a dimostrare un exploit zero-click su WhatsApp, cioè una vulnerabilità che consenta l’esecuzione di codice remoto sull’app di messaggistica senza alcuna interazione da parte dell’utente. Meta, insieme a Synology e QNAP, finanzia l’evento che si terrà dal 21 al 24 ottobre a Cork (Irlanda) e che quest'anno darà un importante stimolo alla ricerca proattiva sulle falle più gravi, soprattutto su una piattaforma che conta oltre tre miliardi di utenti nel mondo.

Come annunciato dalla ZDI: «Siamo entusiasti che Meta sia co-sponsor dell’evento di quest’anno e così desiderosa di vedere exploit su WhatsApp da mettere sul piatto un milione di dollari per una vulnerabilità zero-click in grado di portare all’esecuzione di codice». Il precedente premio record per una vulnerabilità WhatsApp era stato di 300.000 dollari: la cifra attuale testimonia un salto di qualità nella strategia di responsabilizzazione dei ricercatori e incentivazione alla disclosure responsabile delle criticità prima che vengano sfruttate da attori malevoli, tra cui gruppi APT e soggetti sponsorizzati da stati nazione.

Non mancheranno premi minori per altre tipologie di exploit sull’app di Meta, comprese vulnerabilità che richiedano una minima interazione della vittima o portino all’escalation di privilegi, così come precisato dall’organizzazione. Il sistema a livelli multipli di ricompensa punta a coprire l’intera superficie d’attacco di WhatsApp, dai bug di corruzione della memoria ai difetti logici nella gestione dei messaggi.

Pwn2Own Ireland 2025 sarà strutturato in otto categorie che riflettono il panorama delle minacce moderne: oltre alle app di messaggistica, saranno bersaglio degli hacker etici smartphone di punta (Samsung Galaxy S25, Google Pixel 9, Apple iPhone 16), dispositivi per la smart home, stampanti, NAS, equipaggiamenti per la sorveglianza, router domestici e wearables inclusi i visori Meta Ray-Ban Smart Glasses e Quest 3/3S.

Rispetto alle passate edizioni, la ZDI ha ampliato i vettori di attacco per la categoria mobile: oltre ai consueti exploit wireless via Wi-Fi, Bluetooth e NFC, sarà possibile compromettere il dispositivo anche tramite attacco fisico sulla porta USB, sfidando i partecipanti a violare uno smartphone bloccato tramite connessione diretta.

Tali sfide si svolgeranno in ambienti di rete controllati, simulando scenari realistici di minaccia. Ogni exploit dovrà essere automatizzato e dimostrabile tramite un singolo comando. Per le altre categorie restano importanti i tentativi contro device come NAS, stampanti o router, in cui chi dimostrerà catene di exploit particolarmente sofisticate otterrà ricompense fino a 250.000 o 300.000 dollari, come già accaduto nelle scorse edizioni. Le iscrizioni per partecipare chiuderanno il 16 ottobre alle ore 17:00 ora irlandese; l’ordine delle dimostrazioni tra i vari team sarà determinato da estrazione.

Il contest, che punta a scoprire vulnerabilità prima che vengano sfruttate da criminali informatici e garantisce il coordinamento della vulnerability disclosure con i fornitori dei prodotti coinvolti, prevede che dopo il successo della dimostrazione la società vulnerabile disponga di 90 giorni di tempo per rilasciare aggiornamenti di sicurezza prima che i dettagli della falla vengano resi pubblici dalla ZDI.

Nel 2024 l’evento aveva già superato il milione di dollari di premi distribuiti, con oltre 70 vulnerabilità zero-day dimostrate. Il team Viettel Cyber Security si era aggiudicato la vittoria finale e 205.000 dollari, mostrando exploit vincenti contro QNAP NAS, Sonos e stampanti Lexmark. La nuova edizione, anche grazie alla cifra record per WhatsApp e alla partnership strategica con Meta, punta a portare la ricerca di sicurezza a un nuovo livello, coinvolgendo e ricompensando i migliori esperti nel settore.