Các nhà nghiên cứu an ninh mạng đang có động lực lớn để nhắm mục tiêu vào nền tảng WhatsApp trong mùa thu này. Zero Day Initiative (ZDI) đã công bố một phần thưởng kỷ lục 1 triệu USD cho một cuộc khai thác zero-click remote code execution (RCE) chống lại nền tảng nhắn tin phổ biến này tại sự kiện Pwn2Own Ireland 2025. Đây là một lỗ hổng zero-day không yêu cầu bất kỳ tương tác nào từ người dùng để xâm nhập thiết bị.
Phần Thưởng Kỷ Lục cho Khai Thác Zero-Click Remote Code Execution trên WhatsApp
Giải thưởng chưa từng có này đại diện cho khoản tiền thưởng lớn nhất trong lịch sử Pwn2Own. Nó được thực hiện nhờ sự hợp tác với Meta, công ty mẹ của WhatsApp, đồng tài trợ cuộc thi năm nay. Cuộc thi sẽ diễn ra từ ngày 21 đến 24 tháng 10 năm 2025, tại văn phòng của ZDI ở Cork, Ireland.
Các quan chức của ZDI đã tuyên bố trong thông báo của họ: “Chúng tôi đã giới thiệu danh mục này vào năm ngoái, nhưng không ai thử sức. Có lẽ một con số với hai dấu phẩy sẽ cung cấp động lực cần thiết.”
Giải thưởng một triệu đô la này đặc biệt nhắm mục tiêu vào các lỗ hổng zero-click trên WhatsApp dẫn đến thực thi mã từ xa. Đặc tính “zero-click” của lỗ hổng này có nghĩa là cuộc tấn công có thể xảy ra mà không cần người dùng nhấp vào liên kết, mở tệp đính kèm hay thực hiện bất kỳ hành động nào. Điều này khiến chúng trở thành mối đe dọa đặc biệt nghiêm trọng, vì khả năng bị xâm phạm thiết bị mà không có dấu hiệu nhận biết rõ ràng.
Tầm quan trọng của việc bảo mật WhatsApp, một nền tảng phục vụ hơn ba tỷ người dùng trên toàn cầu, được phản ánh qua khoản đầu tư đáng kể của Meta vào chương trình tiền thưởng này. Nền tảng nhắn tin này đã trở thành mục tiêu hấp dẫn cho các tác nhân đe dọa muốn truy cập vào các cuộc liên lạc nhạy cảm. Do đó, việc nghiên cứu bảo mật để phát hiện các lỗ hổng zero-day trở nên đặc biệt có giá trị.
Để biết thêm chi tiết về cuộc thi và các hạng mục, bạn có thể tham khảo thông báo chính thức từ ZDI trên blog của họ: Pwn2Own Returns to Ireland with a One Million Dollar WhatsApp Target.
Các Danh Mục Mục Tiêu Khác tại Pwn2Own Ireland 2025
Bên cạnh giải thưởng WhatsApp nổi bật, cuộc thi sẽ có tám danh mục khác nhau nhắm mục tiêu vào nhiều công nghệ tiêu dùng và doanh nghiệp. Sự đa dạng này phản ánh phạm vi rộng của các thiết bị có thể chứa lỗ hổng zero-day và tiềm ẩn nguy cơ cho người dùng.
Mục Tiêu Di Động và Các Phương Pháp Tấn Công Mới
Danh mục điện thoại di động bao gồm các mục tiêu như iPhone 16 Pro và Samsung Galaxy S24. Các giải thưởng cho hạng mục này dao động từ 50.000 USD đến 300.000 USD. Mức độ phức tạp của các hệ điều hành di động thường là nguồn gốc của các lỗ hổng zero-day khó phát hiện.
Một phương pháp tấn công mới thông qua USB đã được giới thiệu cho các thiết bị di động. Điều này cho phép các nhà nghiên cứu trình diễn các cuộc khai thác yêu cầu truy cập vật lý. Khai thác qua USB có thể dẫn đến việc chiếm quyền điều khiển thiết bị hoặc truy cập dữ liệu mà không cần tương tác phức tạp của người dùng.
Thử Thách SOHO Smashup và Thiết Bị Thông Minh
Danh mục SOHO Smashup thách thức những người tham gia xâm nhập hai thiết bị văn phòng/gia đình nhỏ (SOHO) trong vòng 30 phút để giành giải thưởng 100.000 USD. Các thiết bị SOHO thường là điểm yếu trong mạng gia đình và doanh nghiệp nhỏ, dễ bị tấn công nếu chứa lỗ hổng zero-day.
Các danh mục khác bao gồm:
- Thiết bị nhà thông minh: Các thiết bị IoT ngày càng phổ biến nhưng cũng tiềm ẩn nhiều rủi ro bảo mật.
- Máy in: Với mục tiêu mới từ Brother, cùng với Canon và HP, máy in cũng có thể là điểm yếu để truy cập mạng.
- Hệ thống lưu trữ gắn mạng (NAS): Từ Synology và QNAP, các thiết bị này lưu trữ lượng lớn dữ liệu nhạy cảm, là mục tiêu hấp dẫn cho các cuộc tấn công.
- Thiết bị giám sát: Camera an ninh và hệ thống giám sát có thể bị khai thác để theo dõi hoặc xâm nhập mạng.
- Thiết bị đeo được: Bao gồm Kính thông minh Ray-Ban của Meta và tai nghe Quest 3/3S, cho thấy phạm vi mục tiêu mở rộng.
Sự đa dạng của các mục tiêu này nhấn mạnh phạm vi rộng của các rủi ro bảo mật trong hệ sinh thái công nghệ hiện đại. Việc tìm kiếm và khắc phục các lỗ hổng zero-day trong các thiết bị này giúp cải thiện an toàn thông tin cho người dùng toàn cầu.
Tầm Quan Trọng của Các Cuộc Thi Tiền Thưởng Lỗi và Phát Hiện Lỗ Hổng
Sự kiện Pwn2Own tại Ireland năm ngoái đã trao tổng cộng 1.066.625 USD cho hơn 70 lỗ hổng zero-day duy nhất, đặt ra một tiêu chuẩn cao cho cuộc thi năm 2025. Với việc bổ sung tiền thưởng WhatsApp trị giá một triệu đô la, các nhà tổ chức kỳ vọng sẽ vượt qua đáng kể các kỷ lục trước đó.
Các cuộc thi tiền thưởng lỗi (bug bounty) như Pwn2Own đóng vai trò then chốt trong việc tăng cường an ninh mạng. Bằng cách khuyến khích các nhà nghiên cứu tìm và tiết lộ các lỗ hổng zero-day một cách có trách nhiệm, chúng giúp các nhà cung cấp phần mềm và phần cứng khắc phục những điểm yếu tiềm ẩn. Việc này diễn ra trước khi chúng có thể bị khai thác bởi các tác nhân độc hại. Điều này đặc biệt quan trọng đối với các lỗ hổng như remote code execution, có thể dẫn đến chiếm quyền điều khiển hệ thống và hậu quả nghiêm trọng.
Mỗi cảnh báo CVE hoặc lỗ hổng được phát hiện thông qua các cuộc thi này góp phần vào một hệ sinh thái an toàn hơn. Nó cung cấp thông tin tình báo về mối đe dọa quý giá, cho phép các tổ chức và người dùng thực hiện các biện pháp phòng ngừa cần thiết. Việc phát hiện sớm các lỗ hổng, đặc biệt là các lỗ hổng zero-day, là rất quan trọng để giảm thiểu rủi ro bị xâm nhập trái phép và bảo vệ dữ liệu nhạy cảm.
Pwn2Own không chỉ là một cuộc đua về tiền bạc mà còn là một nỗ lực hợp tác giữa các nhà nghiên cứu bảo mật và các nhà phát triển. Mục tiêu chung là nâng cao khả năng phòng thủ tổng thể, giảm thiểu các cuộc tấn công mạng và bảo vệ người dùng khỏi các mối đe dọa ngày càng tinh vi.
Thông Tin Đăng Ký và Diễn Biến Cuộc Thi
Thời hạn đăng ký tham gia cuộc thi Pwn2Own Ireland 2025 sẽ kết thúc vào lúc 17:00 Giờ chuẩn Ireland ngày 16 tháng 10 năm 2025. Sẽ không có ngoại lệ cho các đăng ký trễ.
Các nhà nghiên cứu quan tâm đến việc tham gia phải liên hệ trực tiếp với ZDI qua email [email protected] để bắt đầu quá trình đăng ký.
Thứ tự thực hiện các cuộc tấn công sẽ được xác định thông qua bốc thăm ngẫu nhiên vào ngày đầu tiên của cuộc thi. Kết quả sẽ được chia sẻ theo thời gian thực thông qua blog và các kênh truyền thông xã hội của ZDI, sử dụng hashtag #P2OIreland.
Người chiến thắng chung cuộc sẽ nhận được danh hiệu “Master of Pwn” danh giá, cùng với các điểm thưởng ZDI bổ sung và sự công nhận trong cộng đồng an ninh mạng.
Việc liên tục tổ chức các sự kiện như Pwn2Own không chỉ đẩy mạnh giới hạn của nghiên cứu bảo mật mà còn giúp cộng đồng hiểu rõ hơn về các lỗ hổng zero-day và cách chúng có thể bị khai thác, từ đó nâng cao khả năng phòng thủ tổng thể.
