Resumo
- Hacker poderá ganhar US$ 1 milhão se invadir WhatsApp no Pwn2Own 2025.
- Falha precisa permitir execução remota sem ação da vítima, o chamado zero-click.
- Concurso também premiará invasões via USB em celulares e outros dispositivos.
Um prêmio de US$ 1 milhão será oferecido a quem conseguir demonstrar uma vulnerabilidade crítica no WhatsApp durante o Pwn2Own Ireland 2025, concurso internacional de segurança digital. A cifra equivale a R$ 5,5 milhões, conforme o câmbio de hoje. A competição busca descobrir falhas que possam ser exploradas sem qualquer ação da vítima, conhecidas como zero-click, e será realizada entre os dias 21 e 24 de outubro, na cidade de Cork, na Irlanda.
A iniciativa é promovida pela Zero Day Initiative (ZDI), com apoio da Meta — dona do WhatsApp —, e das empresas Synology e QNAP. O objetivo é antecipar-se a ataques cibernéticos reais, descobrindo e corrigindo vulnerabilidades antes que elas sejam exploradas por criminosos.
O que é a falha clique zero e por que ela preocupa?
Falhas do tipo clique zero permitem que um dispositivo seja invadido sem que o usuário precise clicar em links, abrir arquivos ou realizar qualquer tipo de ação. Em aplicativos de mensagens como o WhatsApp, isso pode ocorrer com o simples recebimento de uma mensagem maliciosa — um risco elevado, considerando os mais de 3 bilhões de usuários ativos da plataforma.
No caso específico do concurso, o foco está em vulnerabilidades que permitam a execução remota de código — ou seja, que possibilitem ao invasor controlar o aparelho da vítima.
Além do grande prêmio de US$ 1 milhão, também estão previstas recompensas menores para outras falhas. O valor expressivo visa estimular especialistas a tentarem desafios que, em edições anteriores, foram ignorados.
Como funciona o Pwn2Own e quais são as outras categorias?
O Pwn2Own é um dos mais reconhecidos concursos de segurança do mundo e reúne pesquisadores de cibersegurança para encontrar vulnerabilidades em produtos populares. A edição deste ano contará com oito categorias, que vão desde aplicativos de mensagens e smartphones até dispositivos domésticos inteligentes, equipamentos de vigilância e tecnologia vestível, como os óculos inteligentes Ray-Ban da Meta e os fones Quest 3.
Além dos tradicionais vetores de ataque via Wi-Fi, Bluetooth e NFC, a categoria de dispositivos móveis foi expandida para incluir exploração via porta USB. Isso significa que, para vencer em algumas categorias, os participantes precisarão invadir celulares bloqueados usando conexão física.
Na edição passada, mais de 70 falhas inéditas foram registradas e os prêmios somaram US$ 1.078.750 (R$ 5,95 milhões), sendo US$ 205 mil (R$ 1,13 milhão) apenas para a equipe Viettel Cyber Security, que demonstrou falhas em dispositivos da QNAP, Sonos e Lexmark.
A expectativa é que a edição de 2025 seja ainda mais competitiva — especialmente com o incentivo milionário da Meta para quem conseguir violar um dos aplicativos mais populares do mundo.
Com informações do BleepingComputer
Concurso vai pagar US$ 1 milhão para quem encontrar falha grave no WhatsApp
