Dal 21 al 24 ottobre 2025, a Cork, in Irlanda, si svolgerà una nuova edizione di Pwn2Own, noto palcoscenico della sicurezza informatica. La competizione è organizzata dalla Zero Day Initiative di Trend Micro. Quest’edizione attira ancora di più l’attenzione perché Meta offrirà un premio di un milione di dollari a chi riuscirà a scoprire e dimostrare un exploit di tipo zero-click su WhatsApp, ovvero una vulnerabilità in grado di eseguire codice da remoto senza alcuna interazione con il dispositivo.
Il concorso punta sulle sfide più complesse della sicurezza moderna. Per la prima volta, viene offerto un premio così elevato per un’app di messaggistica. Una cifra che non solo sottolinea la portata dell’iniziativa, ma mette in risalto la crescente esigenza di proteggere canali utilizzati da miliardi di persone. WhatsApp, infatti, con oltre tre miliardi di dispositivi attivi, è un bersaglio sensibile per attacchi avanzati; specie quelli portati avanti da gruppi sponsorizzati da governi o da cybercriminali ben organizzati.
Un exploit zero-click su WhatsApp
Il focus principale di questa edizione ruota attorno a un preciso tipo di vulnerabilità; quella che consente l’esecuzione di codice da remoto senza alcuna azione dell’apparecchio bersaglio. Questo è il significato di “zero-click”. Non serve cliccare su un link, aprire un file o installare qualcosa. Basta che l’app sia installata sul dispositivo. Un attacco di questo tipo, se scoperto e dimostrato in maniera efficace, verrà ricompensato con il premio massimo da 1 milione di dollari.
Ma non è l’unico scenario previsto. ZDI ha preparato una scala di premi anche per altre forme di exploit su WhatsApp. Per esempio, Account takeover tramite vulnerabilità a un solo clic (fino a $500.000); oppure, escalation di privilegi o attacchi meno critici ma comunque rilevanti (premi inferiori). Questa struttura permette a un ampio spettro di ricercatori di spingere la ricerca verso tutti i punti deboli dell’app. Non solo bug di memoria, ma anche errori logici nel parsing dei messaggi, nei protocolli di comunicazione e nella gestione dei permessi.
Categorie in gara e novità del Pwn2Own Ireland 2025
Anche se WhatsApp sarà la star dell’evento visto il generoso premio in palio, il Pwn2Own Ireland 2025 include ben otto categorie distinte, selezionate per riflettere i rischi emergenti nel panorama tecnologico attuale:
- Dispositivi mobili (inclusi Samsung Galaxy S25🧺, Pixel 9, iPhone 16);
- App di messaggistica (oltre WhatsApp);
- SOHO Smashup: attacchi incrociati su router e dispositivi di rete domestica; bisogna compromettere due dispositivi di rete entro 30 minuti. Il premio è di $100.000 e 10 punti “Master of Pwn”;
- Dispositivi per smart home (es. Sonos, Amazon, Philips);
- Stampanti;
- NAS (QNAP, Synology);
- Sistemi di sorveglianza;
- Wearables, come Ray-Ban Smart Glasses e Quest 3/3S.
Quest’anno la categoria mobile si arricchisce anche di un nuovo vettore di attacco USB. I partecipanti dovranno tentare l’exploit tramite una porta fisica, contro un dispositivo bloccato. Questo testa scenari da accesso fisico, come attacchi in dogane, furti o analisi forensi.
Perché Meta punta così tanto sulla sicurezza di WhatsApp
Dietro il montepremi milionario c’è una strategia precisa. Meta vuole prevenire le stesse tecniche d’attacco che negli scorsi anni sono state sfruttate da gruppi come NSO Group per diffondere spyware come Pegasus. I zero-click exploit sono da sempre i più insidiosi: difficili da rilevare, spesso impossibili da fermare in tempo.
Nel 2024, WhatsApp è già stata al centro di varie polemiche, a causa della sua esposizione ad attacchi complessi. L’iniziativa con Pwn2Own vuole stimolare la comunità white-hat a cercare queste falle prima che lo facciano soggetti con intenti malevoli. L’anno scorso, la stessa categoria su WhatsApp era presente ma nessuno l’ha affrontata.
Pwn2Own 2025 Irlanda: un evento da seguire
A Cork, in Irlanda, Pwn2Own 2025 potrebbe rappresentare un nuovo standard nella divulgazione responsabile delle vulnerabilità. Il coinvolgimento diretto di Meta e l’apertura verso attacchi reali e pratici lo rendono un appuntamento da non perdere per chi si occupa di sicurezza.
Le registrazioni si chiuderanno il 16 ottobre 2025 alle 17:00 (ora irlandese), con i tentativi che seguiranno un ordine estratto a sorte. Da lì in poi, occhi puntati su Cork dove i ricercatori si sfideranno per un premio considerevole, ma, oltretutto contribuiranno a rendere il mondo digitale un po’ più sicuro.
