תוכנית ZDI מבית ענקית הסייבר טרנד מיקרו (Trend Micro), המובילה במחקר וגילוי חולשות ברחבי העולם, סייעה בשנת 2024 לגילוי אחראי של 73% מכלל החולשות, יותר מכל הספקים המשתתפים האחרים גם יחד, ובהשוואה לשיעור גילוי של 60% בשנה שעברה, כך עולה מנתוני חברת המחקר אומדיה (Omdia).
במהלך חסר תקדים לקידום מחקר אבטחת הסייבר, הכריזה של טרנד מיקרו על פרס חסר תקדים בגובה מיליון דולר על הדגמת פירצת Zero-Click ב-WhatsApp (ווטסאפ) במסגרת תחרות Pwn2Own אירלנד 2025. התחרות תתקיים בין ה-21 ל-24 באוקטובר 2025 בקורק, אירלנד, בחסות משותפת של מטא (Meta), סינולוג'י (Synology) ו-QNAP והיא מציבה שיא חדש לגובה פרס בודד בתולדות Pwn2Own.
הפרס בסך מיליון הדולר, שיוענק בשותפות עם נותנת החסות מטא, מתמקד באחת החולשות הקריטיות בעולם אפליקציות המסרים המיידים: מתקפות הרצת קוד מרחוק שאינן דורשות כל מעורבות מצד המשתמש. פרצת Zero-Click מאפשרת לתוקף להשתלט לחלוטין על המכשיר באמצעות שליחת הודעה ל-WhatsApp ללא שהנמען יבצע פעולה כלשהי. לאור הפריסה העולמית האדירה של WhatsApp, עם למעלה משלושה מיליארד משתמשים בחודש, חולשות מסוג זה מציבות סיכון חמור לפרטיות המשתמשים ולאבטחה ברחבי העולם.
מגוון מערכות ומכשירים
במסגרת התחרות יתחרו חוקרי אבטחת מידע מרחבי העולם בפריצה למגוון רחב של מערכות ומכשירים בשמונה קטגוריות עיקריות, ובהן טלפונים חכמים, מערכות בית חכם, מדפסות, מערכות אחסון (NAS), מצלמות אבטחה, אפליקציות מסרים, התקנים לבישים חכמים וציוד משרדי/ביתי חכם. בין היעדי הפריצה הבולטים השנה יככבו ה-iPhone 16 של אפל (Apple), ה-Pixel 9 של גוגל (Google), ה-Galaxy S25 של סמסונג (Samsung), מערכות NAS של סינולוג'י ו-QNAP וכן המשקפיים החכמים Ray-Ban Meta Glasses ומשקפי המציאות המדומה Meta Quest 3.
סכומי הפרסים מגיעים יחדיו למיליוני דולרים, כאשר חלק מהפרסים הם מהגבוהים שניתנו אי־פעם בתחרות. עם זאת, אתגר מיליון הדולר עבור WhatsApp בולט הן בגודלו והן בהשפעתו האפשרית על אבטחת תקשורת המסרים הגלובלית.
תחרות Pwn2Own צפויה למשוך את טובי החוקרים בעולם ולהציב רף חדש באיתור נקודות תורפה במכשירים ומערכות הנפוצים ביותר בשימוש יומיומי, וזאת לפני ששחקנים זדוניים ינצלו אותן. התחרות מדגישה את מחויבותה של טרנד מיקרו לתמרץ מחקר אבטחתי פורץ דרך ולהתמודד באופן יזום עם האיומים החמורים ביותר על המשתמשים.
אז איפה נרשמים
המחקר מאחורי הבאגים שהתגלו מבטיח שלקוחות טרנד מיקרו יקבלו טלאים וירטואליים נגד חולשות 'יום אפס'. בממוצע, תיקונים וירטואליים אלה זמינים למעלה מחודשיים לפני שחרור העדכון הרשמי של הספק. אבל ZDI לא מועילה רק ללקוחות טרנד מיקרו. העדכון המוקדם הופך את העולם הדיגיטלי לבטוח יותר עבור כולם, משום שטרנד מבטיחה שיצרני התוכנה יתקנו את החולשות לפני ששחקנים זדוניים יצליחו לנצל אותן.
טרנד מיקרו מדגישה כי התחרות מתבצעת לפי כללי ה-Zero Day Initiative, שמבטיחים גילוי אחראי של חולשות והעברתו ליצרנים לתיקון. המועד האחרון להרשמה הוא 16 באוקטובר, בשעה 17:00 (שעון אירלנד). לפי כללי התחרות, לחברות יש 90 יום לשחרר עדכוני אבטחה לאחר גילוי הפרצות, לפני ש-ZDI תפרסם אותן לציבור.
חוקרי אבטחה המעוניינים להירשם לתחרות, מוזמנים להירשם בדוא"ל pwn2own@trendmicro.com. מידע וטיפים על התחרות השנה ועל ההרשמה – Zero Day Initiative — What to Expect when Exploiting: A Guide to Pwn2Own Participation, וכאן – Pwn2Own Ireland 2025 Rules.