Pwn2Own Ireland 2025 bilgisayar korsanlığı yarışmasında Team Z3’ten siber güvenlik araştırmacıları, WhatsApp’taki potansiyel sıfır tıklamayla uzaktan kod yürütme (RCE) güvenlik açığına ilişkin yüksek riskli gösterilerini geri çekti ve bunun yerine Meta’ya özel, koordineli bir açıklama yapmayı tercih etti.
21-23 Ekim tarihleri arasında İrlanda’nın Cork şehrinde düzenlenen etkinlikte, böyle bir WhatsApp istismarı için rekor kıran 1 milyon dolarlık ödül, üç milyar kullanıcısı arasında platformun güvenliğine küresel dikkat çekti.
Geri çekilme, sahadaki seyircileri ve diğer rakipleri hayal kırıklığına uğrattı, çünkü bu istismar yarışmanın en önemli mücevheri olmaya hazırlanıyordu ve potansiyel olarak Z3 Takımına Pwn2Own tarihindeki en büyük tek ödemeyi kazandıracaktı.
Etkinliğin organizatörleri Zero Day Initiative’e (ZDI) göre Team Z3, araştırmalarının halka açık canlı bir gösterime hazır olmadığını hissetti.
Gelmemesine rağmen ZDI, analistleri tarafından yapılan ilk değerlendirmelerin Meta mühendislerine devredilmeden önce yapılacağını ve doğrulanmış herhangi bir kusura yapısal bir yanıt sağlanacağını belirterek olumlu sonucu vurguladı.
WhatsApp’ın ana şirketi ve Synology ve QNAP ile birlikte Pwn2Own Ireland’ın ortak sponsoru olan Meta, bulgulara olan ilgisinin devam ettiğini ifade ederek uygulamanın sıfır tıklama saldırıları gibi karmaşık tehditlere karşı savunmasını güçlendirme konusundaki kararlılıklarının altını çizdi.
Kullanıcı etkileşimi gerektirmeyen bu istismarlar, yüksek profilli bireyleri hedef alan geçmiş casus yazılım kampanyalarında silah haline getirilmişti.
ZDI, bu özel kanalı kolaylaştırarak Meta’ya, etik hackleme normlarına uygun olarak, kamuya açıklanmadan önce sorunları düzeltmesi için olaydan sonra 90 güne kadar yeterli zaman vermeyi amaçlıyor.
Bölüm, siber güvenlikte hata ödüllerinin ve koordineli açıklamaların gelişen ortamını vurguluyor.
Pwn2Own İrlanda, sonuçta Samsung Galaxy S25 ve çeşitli yazıcılar gibi cihazlarda 73 benzersiz sıfır gün için 1.024.750 ABD doları ödüllendirirken, WhatsApp efsanesi satıcılara her yerde bulunan uygulamalardaki gizli riskleri hatırlatıyor.
Etkilenen sürümler veya CVE ataması gibi güvenlik açığının ayrıntıları hakkında henüz hiçbir ayrıntı ortaya çıkmadı, ancak uzmanlar, Meta’nın gerçek dünyadaki potansiyel istismarı azaltmak için bu sorunu hızla çözeceğini öngörüyor.
Ortalık yatıştıkça Team Z3’ün kararı, gösteri yerine sorumlu açıklamayı önceliklendiriyor ve potansiyel olarak yaygın zararı önlüyor. Siber güvenlik topluluğu, Meta’nın yanıtını ve gelecek güvenlik önerilerindeki yamaları bekleyerek yakından izliyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
