トレンドマイクロのZero Day Initiative(ZDI)が主催するPwn2Own Ireland 2025ハッキングコンテストでは、合計1,024,750ドルが賞金として支払われましたが、100万ドル相当のWhatsApp脆弱性の実演を予定していた研究者が直前で辞退したことで、イベントはその話題に覆われました。
Pwn2Own Ireland 2025で最高額となる賞金10万ドルは、QNAP Qhora-322ルーターとQNAP TS-453E NASデバイスを標的としたエクスプロイトチェーンに支払われました。
Samsung Galaxy S25を標的とした2つのエクスプロイトチェーンにはそれぞれ5万ドル、Synology ActiveProtect Appliance DP320およびSonos Era 300スマートスピーカーの脆弱性にも同額が支払われました。
参加者は、Ubiquitiカメラ、QNAPおよびSynology NASデバイス、LexmarkおよびCanonプリンター、Phillips Hue Bridge、Amazon Smart Plug、Home Automation Greenなどのスマートホームシステムのハッキングで最大4万ドルを受け取りました。
Pwn2Own Ireland 2025では、合計73件の未公開脆弱性が公開されました。
Team Z3のEugene(3ugen3)という研究者は、木曜日にWhatsAppに対する100万ドルのゼロクリックリモートコード実行エクスプロイトの実演を予定していました。
しかし、実演は行われませんでした。ZDIは当初、「渡航の問題やフライトの遅延」により遅れていると発表しましたが、研究者はエクスプロイトを提出する予定であると述べていました。その後ZDIは、研究者が「公開実演に十分な準備ができていない」との理由でコンテストから辞退したと発表しました。
「Team Z3は、研究が公開実演に十分な準備ができていないと感じたため、Pwn2OwnからWhatsAppのエントリーを撤回しました」とZDIの脅威認識責任者であるDustin Childs氏は述べています。
「しかし、Metaはこの研究の受け取りに引き続き関心を持っています。Team Z3は、最初にZDIのアナリストに調査結果を開示し、その後Metaのエンジニアに引き渡す予定です」とChilds氏は付け加えました。「Pwn2Ownのステージでデモを公開できなかったことは残念ですが、Metaへの調整された開示を支援できることを嬉しく思います。もし問題が有効であれば、Metaが対処する機会を持つことができます。」
ZDIによる評価の進捗や、ゼロデイエクスプロイト情報がMetaに共有されたか、またソーシャルメディア大手がWhatsAppハックに対して報奨金を支払ったかについては、何も共有されていません。
この遅延、辞退、そして公開開示の欠如により、セキュリティ業界内では、このエクスプロイトの技術的な実現性について広範な失望と憶測が広がっています。
SecurityWeekの取材に対し、中国出身と思われるEugene氏はPwn2Ownを「素晴らしいイベント」と表現しました。研究者は「Meta、ZDI、そして私の間だけですべてを非公開にすることに決めました。コメントはありません」と述べ、自身の本名を公表したくないとも付け加えました。
Eugene氏はSecurityWeekに対し、詳細を共有することを禁じるNDA(秘密保持契約)に署名したと語りました。
SecurityWeekはZDIおよびWhatsAppにもコメントを求めており、回答があれば本記事を更新します。
翻訳元: https://www.securityweek.com/pwn2own-whatsapp-hacker-says-exploit-privately-reported-to-meta/
