Pwn2Own: badacz wycofał pokaz exploita na WhatsApp. Twierdzi, iż „prywatnie” ujawnił go Meta

Wprowadzenie do problemu / definicja luki

Pwn2Own Ireland 2025 — edycja słynnego konkursu ZDI — miała przynieść głośny pokaz exploita na WhatsApp, wycenionego na 1 mln USD w kategorii „zero-click RCE”. Tuż przed prezentacją badacz wycofał się jednak z demonstracji, deklarując, iż szczegóły luki zostały prywatnie przekazane firmie Meta (właścicielowi WhatsAppa). Organizatorzy i Meta nie potwierdzili dotąd szczegółów ani ew. wypłaty nagrody, co wywołało spekulacje wokół realnej wykonalności łańcucha ataku.

W skrócie

• Badacz zapowiedzianego exploita na WhatsApp odwołał publiczny pokaz na Pwn2Own Ireland 2025 i twierdzi, iż zgłosił go bezpośrednio do Meta. Brak potwierdzenia po stronie ZDI/Meta.
• Sama kategoria WhatsApp w tegorocznym Pwn2Own miała bezprecedensową nagrodę do 1 mln USD za zademonstrowanie zero-click RCE.
• W ostatnich tygodniach WhatsApp ujawnił i załatał poważną podatność (CVE-2025-55177), która w łańcuchu z błędem Apple była wykorzystywana w atakach ukierunkowanych — co podnosi kontekst zagrożeń dla komunikatora.

Kontekst / historia / powiązania

Pwn2Own od lat wynosi na światło dzienne luki klasy RCE/logic w popularnych produktach. W 2025 r. ZDI ustanowiło rekordowe stawki w kategorii komunikatorów mobilnych, z naciskiem na zero-click (brak interakcji ofiary). Dla WhatsAppa ogłoszono pulę sięgającą 1 mln USD — poziom mający przyciągnąć topowe zespoły exploitacyjne.

Równolegle, we wrześniu 2025 r., Meta opublikowała advisory opisujące błąd synchronizacji urządzeń powiązanych (CVE-2025-55177), który — w połączeniu z luką systemową Apple (CVE-2025-43300) — mógł być wykorzystywany w atakach szpiegowskich. Media branżowe potwierdzały te doniesienia, wskazując na realne kampanie ukierunkowane.

Analiza techniczna / szczegóły luki

W sprawie odwołanego pokazu brakuje publicznych detali technicznych: nie ujawniono komponentu (np. parserów multimediów, mechanizmów link preview, WebRTC, E2EE transportu) ani stopnia interakcji (zero-click vs. one-click). Według relacji SecurityWeek, badacz zadeklarował tylko prywatne zgłoszenie do Meta i zrezygnował z demonstracji na scenie, co spowodowało wątpliwości w branży co do statusu exploita. Do chwili publikacji nie ma potwierdzonych informacji o akceptacji zgłoszenia czy wypłacie nagrody.

Dla porównania, CVE-2025-55177 (wrzesień 2025) dotyczyło niepełnej autoryzacji w obsłudze wiadomości synchronizacji urządzeń powiązanych, co mogło prowadzić do przetwarzania treści z arbitralnego URL na urządzeniu ofiary — lukę tę łączono z błędem na poziomie systemu Apple w celu osiągnięcia skutków zero-click.

Praktyczne konsekwencje / ryzyko

• Niepewność ryzyka resztkowego: brak publicznej weryfikacji łańcucha exploita z Pwn2Own utrudnia ocenę ekspozycji. jeżeli istnieje, mógłby być wykorzystywany wysoce selektywnie (APT/spyware).
• Historia realnych nadużyć: świeżo załatane CVE-2025-55177 pokazuje, iż zaawansowane ataki na WhatsApp są możliwe i mają precedens w 2025 r.
• Łańcuchy wieloetapowe: praktyka łączenia błędów aplikacyjnych z systemowymi (iOS/macOS) pozostaje najgroźniejszym wektorem dla „zero-clicków”.

Rekomendacje operacyjne / co zrobić teraz

1. Aktualizacje natychmiastowe:
   • Utrzymuj WhatsApp/WhatsApp Business oraz klienta macOS w najnowszych wersjach (po wrześniowych łatkach adresujących CVE-2025-55177).
   • Wymuszaj szybki cykl aktualizacji iOS/macOS (łaty na poziomie obrazu/Media/ImageIO).
2. Hardening środowiska mobilnego: MDM z politykami ograniczeń (blokowanie instalacji z nieznanych źródeł, kontrola profili, minimalizacja powierzchni udostępnień). (Wniosek operacyjny na bazie powszechnych praktyk; brak specyficznego CVE.)
3. Detekcja i monitoring:
   • Telemetria aplikacyjna (Mobile Threat Defense), wykrywanie anomalii w ruchu (m.in. wzorce C2), alerting na nietypowe procesy multimedialne. (Praktyki branżowe.)
4. Zarządzanie ryzykiem „zero-click”:
   • Traktuj komunikatory jako ryzyko wysokie w profilach VIP/stanowisk wrażliwych; rozważ separację urządzeń i minimalny zestaw aplikacji. (Praktyki branżowe.)
5. Bug bounty / responsywne zgłaszanie:
   • Śledź aktualizacje ZDI i zasady Pwn2Own, które determinują okna publikacji PoC oraz model wynagradzania.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Odwołany pokaz vs. potwierdzona luka: w przypadku CVE-2025-55177 mieliśmy jasne advisory i łaty; w sprawie exploita z Pwn2Own — brak potwierdzonej dokumentacji i brak publicznego PoC.
• Nagroda konkursowa vs. program bug bounty: oferta 1 mln USD w Pwn2Own dotyczy publicznej demonstracji w regulaminie konkursu; prywatne ujawnienie Meta wchodzi już w tryb programu zgłaszania podatności, z innymi kryteriami i poziomami nagród.

Podsumowanie / najważniejsze wnioski

• Głośny pokaz exploita WhatsApp na Pwn2Own nie doszedł do skutku; badacz twierdzi o prywatnym disclosure do Meta, ale brak niezależnej weryfikacji.
• Kontekst 2025 r. (CVE-2025-55177 + Apple zero-day) dowodzi, iż zaawansowane łańcuchy zero-click przeciw WhatsApp są realne — aktualizacje i twarde polityki mobilne to must-have.
• Organizacje powinny traktować komunikatory jako powierzchnię krytyczną, wdrażając MDM/MTD, segmentację użytkowników wysokiego ryzyka i szybki patching.

Źródła / bibliografia

• SecurityWeek — „Pwn2Own WhatsApp Hacker Says Exploit Privately Reported to Meta” (24 października 2025). (SecurityWeek)
• SecurityWeek — „WhatsApp Zero-Day Exploited in Attacks Targeting Apple Users” (2 września 2025). (SecurityWeek)
• WhatsApp Security Advisories 2025 — opis CVE-2025-55177. (whatsapp.com)
• BleepingComputer — o ofercie 1 mln USD na Pwn2Own Ireland 2025. (BleepingComputer)
• ZDI / Trend Micro — regulamin Pwn2Own Ireland 2025. (Zero Day Initiative)