В этом году хакерский конкурс Pwn2Own впервые пройдет в Ирландии. Уже известно, что за уязвимости в мессенджере WhatsApp, которые позволят взломать приложение без участия пользователя, будет предложено вознаграждение в размере 300 000 долларов.
Специалисты Trend Micro Zero Day Initiative (ZDI) анонсировали, что следующий Pwn2Own пройдет в Ирландии, с 22 по 25 октября 2024 года. Дело в том, что соревнование много лет проходило в офисе Trend Micro в Торонто, однако теперь этот офис закрылся, и мероприятию пришлось подыскать новое место.
Также сообщается, что в этом году компания Meta* присоединилась к Pwn2Own в качестве спонсора. В результате за 0-day эксплоиты, нацеленные на мессенджер WhatsApp, в компании готовы предложить до 300 000 долларов.
WhatsApp — единственное приложение, попавшее в новую категорию «Приложения-мессенджеры», в которая охватывает zero-click и one-click эксплоиты, причем последние могут принести участникам до 200 000 долларов США.
Для сравнения: известный брокер эксплоитов, компания Zerodium, в настоящее время предлагает до 1 млн долларов за эксплоит для WhatsApp, обеспечивающий удаленное выполнение кода и повышение локальных привилегий. А zero-click эксплоиты и вовсе могут стоить до 1,5 млн долларов.
Также крупные призы на Pwn2Own Ireland будут предложены за эксплоиты для различных смартфонов. К примеру, уязвимости в Pixel 8 и iPhone 15 могут принести хакерам до 250 000 долларов, а если цепочка эксплоитов будет включать доступ на уровне ядра, то и до 300 000 долларов. Баги в Samsung Galaxy S24 также оцениваются в солидные 50 000 долларов.
Также этой осенью ИБ-специалисты будут бороться за следующие призы:
- эксплоиты для хабов умных домов (продукты AeoTec, Apple, Amazon и Google), могут принести экспертам от 40 000 до 60 000 долларов;
- в категории «Системы видеонаблюдения» участники смогут заработать до 30 000 долларов за взлом решений Lorex, Nest, Synology, Ubiquiti и Arlo;
- уязвимости в принтерах HP, Lexmark и Canon оцениваются в 20 000 долларов, а для умных колонок Sonos, Google и Amazon в 60 000 долларов;
- также участники Pwn2Own Ireland смогут заработать 40 000 долларов за взлом NAS (в том числе компаний Synology, TrueNAS и QNAP).
Напомним, что на прошлогоднем Pwn2Own исследователи заработали более одного миллиона долларов США и в общей сложности выявили 58 уникальных уязвимостей нулевого дня.
*Деятельность компании Meta признана экстремистской и запрещена на территории РФ.