サイバーセキュリティコミュニティの多くは、Pwn2Ownハッキングコンテストで100万ドルのWhatsAppエクスプロイトを実演する予定だった研究者がイベントから撤退したことを木曜日に知り、失望しましたが、一部の人々はこのエクスプロイトの技術的な実現可能性について正しく推測していたようです。
今週、Trend MicroのZero Day Initiative(ZDI)が主催したPwn2Own Ireland 2025コンテストに参加した研究者たちには、合計で100万ドル以上が支払われました。数千ドルから10万ドルの範囲で、プリンター、ルーター、NASデバイス、スマートフォン、スマートホームシステムに対するエクスプロイトを公開実演したホワイトハットハッカーに賞金が授与されました。
木曜日、Team Z3というチームのEugene(3ugen3)という研究者が、WhatsAppに対する100万ドルのゼロクリックリモートコード実行エクスプロイトの実演を試みる予定でしたが、公開実演は行われませんでした。
ZDIは当初、「渡航上の問題」により遅延が発生したと述べていましたが、その後、研究者が公開実演の準備が十分でないことを理由にコンテストから撤退したと発表しました。
しかし、ZDIは木曜の夜、研究者が発見内容を非公開で開示することに同意したと述べました。
「Team Z3は、ZDIのアナリストに発見内容を開示し、Metaのエンジニアに引き渡す前に初期評価を行います」と、ZDIの脅威認識責任者であるDustin Childs氏は述べました。
この一連の出来事により、セキュリティ業界内では、噂されていたWhatsAppエクスプロイトの技術的な実現可能性について広範な失望と憶測が生まれました。
中国出身と思われるEugene氏は、翌朝SecurityWeekに対し、ZDIおよびMetaと協議の上、すべてを非公開とすることを決定したと認めました。これは、彼の身元を公に守るためでもあるとのことです。研究者は、詳細を共有できないことを定めたNDA(秘密保持契約)に署名したと述べました。
しかし、WhatsAppはSecurityWeekに対し、「低リスク」と評価された2つの脆弱性を調査中であり、いずれも任意のコード実行を達成するのに有用なものではないと述べました。
「Team Z3が実行可能なエクスプロイトを持っていなかったため、昨日Pwn2Ownから撤退したことは残念ですが、ZDIおよびTeam Z3と連絡を取り合い、受け取った低リスクのバグをトリアージできるよう研究内容を理解しようとしています」とWhatsAppの広報担当者は述べました。
「これまで通り、バグ報奨金プログラムを通じてコミュニティから有効な研究を受け入れる準備ができており、セキュリティ研究者やPwn2Ownとの継続的な協力に感謝しています」と広報担当者は付け加えました。
