今後開催されるPwn2Ownコンペティション(コーク開催)に参加するセキュリティ研究者は、WhatsAppにおいて高い影響を及ぼす脆弱性を発見できれば、100万ドルを獲得するチャンスがあります。
コンペティションの主催者であるトレンドマイクロのZero Day Initiative(ZDI)は先週末、コード実行につながるゼロクリック脆弱性のみが6桁の賞金の対象となると説明しましたが、その他のWhatsApp脆弱性についても小規模な賞金が用意されています。
「このカテゴリは昨年導入しましたが、誰も挑戦しませんでした。2つのカンマが入った数字なら、必要なモチベーションになるかもしれません」とZDI脅威認識責任者のダスティン・チャイルズ氏は述べています。
今回のイベントは、10月21日から24日にかけてトレンドマイクロのコークオフィスで開催され、アイルランドでの開催は2回目となります。消費者向け製品に焦点を当てており、8つのカテゴリが選ばれています:
- 携帯電話
- メッセージング
- SOHO Smashup
- スマートホームデバイス
- プリンター
- NASデバイス
- 監視システムデバイス
- ウェアラブル
今年のイベントのメインスポンサーはMetaで、SynologyやQNAPも大会に資金提供を行い、出場者がバグを探すためのデバイスのセットアップや構成にも協力しています。
Pwn2Ownについてさらに読む:研究者がPwn2Own Irelandで70以上のゼロデイバグを発見
例年通り、このイベントの目的は、世界で最も優秀なセキュリティ研究者たちにさまざまな製品の脆弱性を発見してもらうことです。この情報は責任を持って該当ベンダーに開示され、トレンドマイクロは完全なアップデートが提供されるまで仮想パッチで顧客を保護します。
「携帯電話カテゴリには新たにUSB攻撃ベクターを追加して少し調整しました。攻撃者が物理的にデバイスへアクセスした場合に何が起こるか、興味深い研究が出てくることを期待しています」とチャイルズ氏は述べています。
「昨年は、コンテストで70以上のユニークなゼロデイ脆弱性に対して1,066,625ドルを授与しました。今年はこの数字を上回るのか楽しみです。特に100万ドルの賞金がかかっているので」とも述べています。
携帯端末は「このイベントの中心」となり、出場者はSamsung Galaxy S25、Google Pixel 9、Apple iPhone 16のハッキングに挑戦できます。
その他の競技対象製品には、QNAP、Ubiquiti、NestのSOHOデバイス、Amazon、Philips、Sonosのスマートホームデバイス、Meta Questヘッドセット、Ray-Banスマートグラスなどが含まれます。
ゼロクリックのWhatsApp脆弱性は、しばしばNSO Groupのような商用スパイウェア企業によって発見・収益化されており、悪名高いPegasusマルウェアの配布にも利用されました。
画像クレジット:Diego Thomazini / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/pwn2own-1m-zeroclick-whatsapp/