Na hakerskom takmičenju Pwn2Own Ireland 2025, koje organizuje Trend Micro’s Zero Day Initiative (ZDI), dodijeljeno je ukupno 1.024.750 dolara za otkrivene ranjivosti. Ipak, događaj je zasjenjen povlačenjem istraživača koji je trebalo da demonstrira WhatsApp exploit vrijedan milion dolara.
Najveća nagrada koja je zaista isplaćena na takmičenju iznosila je 100.000 dolara, a dodijeljena je za lanac exploita koji je ciljao QNAP Qhora-322 ruter i QNAP TS-453E NAS uređaj.
Po 50.000 dolara dobila su dva tima koja su iskoristila Samsung Galaxy S25, kao i oni koji su prijavili ranjivosti u Synology ActiveProtect Appliance DP320 i Sonos Era 300 pametnom zvučniku.
Učesnici su takođe nagrađivani sa do 40.000 dolara za uspješno hakovanje Ubiquiti kamera, QNAP i Synology NAS uređaja, Lexmark i Canon štampača, te pametnih kućnih sistema kao što su Phillips Hue Bridge, Amazon Smart Plug i Home Automation Green.
Ukupno je na događaju otkriveno 73 ranjivosti koje ranije nisu bile poznate.
Istraživač poznat kao Eugene (3ugen3) iz tima Z3 trebalo je da u četvrtak demonstrira zero-click RCE (remote code execution) exploit protiv WhatsAppa, vrijedan 1 milion dolara.
Međutim, demonstracija se nije dogodila. U početku je ZDI saopštio da je došlo do „problema sa putovanjem i odloženih letova“, ali su dodali da će istraživač ipak predati svoj exploit. Kasnije je potvrđeno da je Eugene odustao od takmičenja, navodeći da njegov exploit „nije dovoljno spreman za javnu demonstraciju“.
„Tim Z3 se povukao iz Pwn2Own takmičenja jer nisu smatrali da je njihovo istraživanje spremno za javno prikazivanje“, izjavio je Dustin Childs, šef za svijest o prijetnjama u ZDI.
„Meta je, međutim, i dalje zainteresovana za ovo istraživanje. Tim Z3 svoje nalaze predaje ZDI analitičarima na inicijalnu procjenu prije nego što ih proslijede Meta inženjerima“, dodao je Childs.
„Iako smo razočarani što nećemo javno vidjeti demonstraciju na Pwn2Own bini, zadovoljni smo što možemo olakšati koordinisano otkrivanje ranjivosti, kako bi Meta imala priliku da ih zakrpi ako se pokažu kao stvarne.“
Za sada nisu objavljeni nikakvi rezultati ZDI analize, niti je poznato da li je Meta dobila informacije o potencijalnom zero-day exploitu ili isplatila bilo kakvu nagradu.
Odluka o povlačenju i nedostatak javnog prikaza izazvali su razočaranje i sumnju u sajber bezbjednosnoj zajednici, posebno u pogledu tehničke izvodljivosti navodnog exploita.
Za SecurityWeek, Eugene, koji izgleda dolazi iz Kine, opisao je Pwn2Own kao „sjajan događaj“.
Rekao je: „Odlučili smo da sve ostane privatno između Mete, ZDI-ja i mene. Bez komentara“, dodavši da ne želi da otkriva svoj pravi identitet.
Eugene je potvrdio da je potpisao ugovor o povjerljivosti (NDA) koji mu zabranjuje dijeljenje detalja.
Izvor: SecurityWeek
