Expectativa e mistério marcaram o último dia do Pwn2Own Ireland, ontem na cidade irlandesa de Cork. Uma equipe demonstrou o comprometimento do Samsung Galaxy S25resultando em acesso à câmera e rastreamento de localização do aparelho. No entanto, um POC de exploit zero-click para o WhatsApp Mensageiro foi cancelado, frustrando a comunidade de segurança da informação. O maior prêmio do evento, de US$ 1 milhão, estava disponível justamente para o hacker que conseguiu executar um código remoto zero-day no WhatsApp Messenger sem interação da vítima. Primeiro, a informação era de que um atraso de voo do hacker adiava o procedimento para o fim do dia, mas a notícia final foi de que o POC foi removido do evento. O hacker ‘Eugene’ decidiu-se a comentar a resistência. A organizadora do evento, Trend Micro ZDI (Zero Day Initiative), contratou o procedimento.
Próximos passos e Meta
A Trend Micro ZDI informou que está facilitando uma “divulgação coordenada para a Meta”. A ação garante que a Meta, empresa que detém o WhatsApp, receba detalhes da vulnerabilidade zero-day, mesmo sem a demonstração pública do exploit no evento. Essa divulgação coordenada é uma forma de garantir o reparo da falha de segurança que o hacker alega ter encontrado. A recusa do hacker em comentar torna o exploit zero-day do WhatsApp um mistério para o mundo da segurança.
Nenhuma atualização foi compartilhada sobre se alguma informação sobre o exploit de zero-day foi compartilhada com o Meta e se a empresa pagou alguma recompensa pelo hack do WhatsApp. O atraso, a retirada e a falta de divulgação pública causaram certa decepção e especulações entre membros da comunidade de segurança quanto à verificação técnica do suposto exploit.
