Mnogo članova bezbjednosne zajednice bilo je razočarano kada je u četvrtak istraživač koji je trebao demonstrirati eksploataciju WhatsAppa vrijednu 1 milion dolara na takmičenju Pwn2Own povukao svoj nastup, ali čini se da su neki ispravno nagađali u vezi tehničke održivosti te eksploatacije.
Ukupno je više od 1 milion dolara isplaćeno istraživačima koji su učestvovali na Pwn2Own Ireland 2025, koje je ove sedmice organizovao Trend Microjev Zero Day Initiative (ZDI). Nagrade su se kretale od nekoliko hiljada dolara do 100.000 dolara, a bijeli šeširi su javno demonstrirali eksploatacije protiv štampača, rutera, NAS uređaja, pametnih telefona i smart-home sistema.
U četvrtak je istraživač po imenu Eugene (3ugen3) iz tima Team Z3 trebao pokušati demonstrirati zero-click udaljeno izvršavanje koda protiv WhatsAppa vrijedno 1 milion dolara, ali javna demonstracija se nije desila.
ZDI je u početku rekao da je do odlaganja došlo zbog „problema s putovanjem“ i kasnije objavio da se istraživač povukao sa takmičenja, navodeći zabrinutost da eksploatacija nije dovoljno pripremljena za javnu demonstraciju.
Međutim, ZDI je u četvrtak uveče rekao da je istraživač ipak pristao na privatno otkrivanje svojih nalaza.
„Team Z3 otkriva svoje nalaze analitičarima ZDI-ja radi početne procjene prije nego što ih predaju inženjerima Mete“, rekao je Dustin Childs, rukovodilac za podizanje svijesti o prijetnjama u ZDI-ju.
Niz događaja izazvao je široko razočaranje i spekulacije unutar bezbjednosne industrije u vezi tehničke održivosti navodne WhatsApp eksploatacije.
Eugene, koji izgleda da je iz Kine, potvrdio je sljedeće jutro za SecurityWeek da je sa ZDI-jem i Metom odlučio da sve ostane privatno, djelimično i da bi zaštitio svoj identitet od javnosti. Istraživač je rekao da je potpisao NDA koji mu zabranjuje da dijeli bilo kakve detalje.
Međutim, WhatsApp je rekao SecurityWeeku da pregleda dvije ranjivosti ocijenjene kao greške niskog rizika, nijedna od njih nije korisna za postizanje proizvoljnog izvršavanja koda.
„Razočarani smo što se Team Z3 juče povukao s Pwn2Own jer nisu imali održivu eksploataciju, ali smo bili u kontaktu sa ZDI-jem i Team Z3 kako bismo razumjeli njihovo istraživanje i mogli trižirati greške niskog rizika koje smo primili“, rekao je portparol WhatsAppa.
„Kao i uvijek, spremni smo da primimo valjana istraživanja iz zajednice putem našeg programa za prijavljivanje propusta i zahvalni smo istraživačima i Pwn2Ownu na kontinuiranoj saradnji“, dodao je portparol.
Izvor: SecurityWeek
