Meta je u 2025. godini isplatila 4 miliona dolara kroz svoj bug bounty program, čime je ukupna suma koju je tehnološki gigant dodijelio od pokretanja programa porasla na više od 25 miliona dolara.
Kompanija je ove godine primila oko 13.000 prijava ranjivosti, a 800 njih je nagrađeno.
Tri izvještaja su posebno istaknuta. Prvi se odnosio na CVE-2025-59489, ranjivost u Unity-ju koja je izazvala reakciju Microsofta i Steama. U slučaju Mete, ona je mogla omogućiti malicioznim aplikacijama instaliranim na Quest VR uređajima da manipulišu Unity aplikacijama i izvršavaju proizvoljan kod.
Drugi istaknuti izvještaj podnijeli su istraživači sa Univerziteta u Beču, koji su opisali metodu za masovno enumerisanje WhatsApp naloga.
Istraživači su koristili open-source alate za generisanje potencijalnih brojeva telefona, zatim provjeravali da li su povezani sa WhatsApp nalozima i sastavljali javno dostupne podatke.
Još jedan izvještaj koji je ciljao WhatsApp došao je od Meta analitičara, koji je otkrio problem nepotpune validacije koji je mogao biti zloupotrijebljen za pokretanje obrade sadržaja sa proizvoljnog URL-a na korisničkom uređaju.
Kompanija navodi da su WhatsApp klijenti i serverska infrastruktura važni ciljevi, ali da nije lako pronaći ranjivosti. Kao odgovor na povratne informacije istraživača, Meta je odlučila da napravi alat koji bi trebalo da olakša istraživanje tehnologija specifičnih za WhatsApp.
Ovaj alat, nazvan WhatsApp Research Proxy, dizajniran je za analizu mrežnog protokola aplikacije za razmjenu poruka. Trenutno je dostupan samo nekim dugogodišnjim bug bounty istraživačima. Kasnije će biti pozvano još istraživača da testiraju alat, a krajnji cilj je da postane dostupan svima.
Izvor: SecurityWeek