Team Z3’teki siber güvenlik araştırmacıları, Pwn2Own İrlanda 2025 bilgisayar korsanlığı yarışmasında WhatsApp’ta sıfır tıklamayla uzaktan kod yürütme güvenlik açığına ilişkin planladıkları gösteriyi geri çekti ve bunun yerine Meta’ya özel koordineli açıklama yapmayı tercih etti.
Rekor kıran 1 milyon dolarlık ödül kazandıran yüksek riskli saldırı, 21-23 Ekim tarihleri arasında İrlanda’nın Cork kentinde düzenlenen üç günlük etkinlikte en çok beklenen gösterilerden biriydi.
WhatsApp istismarı yarışmanın en önemli mücevherini ve potansiyel olarak Pwn2Own tarihindeki en büyük tek ödemeyi temsil ettiğinden, çekilme, sahadaki seyircileri ve diğer rakipleri hayal kırıklığına uğrattı.
Etkinliğin organizatörleri Zero Day Initiative’e (ZDI) göre Team Z3, araştırmalarının halka açık canlı bir gösterime hazır olmadığını hissetti.
Kamuya açık bir gösteri olmamasına rağmen ZDI, olumlu güvenlik sonucunu vurguladı ve analistlerinin, bulguları Meta mühendislerine teslim etmeden önce ilk değerlendirmeleri gerçekleştireceğini ve böylece doğrulanmış herhangi bir kusura yapısal bir yanıt sağlanacağını belirtti.
WhatsApp’ın ana şirketi ve Synology ve QNAP ile birlikte Pwn2Own Ireland’ın ortak sponsoru olan Meta, bulgulara olan ilgisinin devam ettiğini ifade etti ve uygulamanın karmaşık tehditlere karşı savunmasını güçlendirme konusundaki kararlılığını yeniden doğruladı.
Cihazları tehlikeye atmak için hiçbir kullanıcı etkileşimi gerektirmeyen sıfır tıklama istismarları, özellikle ciddi riskler oluşturur ve yüksek profilli bireyleri hedef alan geçmiş casus yazılım kampanyalarında silah haline getirilmiştir.
ZDI, bu özel ifşa kanalını kolaylaştırarak, etik hackleme normlarına ve sorumlu ifşa uygulamalarına uygun olarak, Meta’ya sorunları kamuya açıklanmadan önce düzeltmesi için olaydan sonra 90 güne kadar süre vermeyi hedefliyor.
WhatsApp gösterisi gerçekleşmese de Pwn2Own Ireland 2025, çeşitli cihazlarda keşfedilen 73 benzersiz sıfır gün güvenlik açığı için sonuçta 1.024.750 ABD doları ödül verdi.
Başarılı saldırılar Samsung Galaxy S25 akıllı telefonu, Philips Hue Bridge akıllı ev cihazlarını, Lexmark ve Canon yazıcıları, QNAP ağa bağlı depolama sistemlerini ve Ubiquiti güvenlik kameralarını hedef aldı.
Etkinlikte, siber güvenlikteki hata ödüllerinin ve koordineli açıklamaların gelişen ortamı sergilendi; satıcılar, kötü niyetli aktörlerin bu güvenlik açıklarını istismar etmeden önce güvenlik açıklarını tespit etmek için güvenlik araştırmacılarıyla giderek daha fazla ortaklık kurdu.
WhatsApp efsanesi, dünya çapında üç milyar insanın kullandığı her yerde bulunan iletişim uygulamalarında gizlenen gizli riskleri hatırlatıyor.
Siber güvenlik topluluğu Meta’nın yanıtını beklerken, Team Z3’ün kamuya açık gösteri yerine sorumlu açıklamayı önceliklendirme kararı, modern güvenlik açığı araştırmalarının olgunluğunu gösteriyor ve potansiyel olarak dünya çapında WhatsApp kullanıcılarına yönelik yaygın zararı önlüyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.