Pwn2Own赛事为攻破WhatsApp目标提供高达百万美元奖金

今年的面向消费者的Pwn2Own赛事将在爱尔兰举行，比赛将于2025年10月21日至24日举行。Meta作为今年赛事的联合赞助商，他们为一个能在WhatsApp上实现 0-click（无需用户交互）并导致代码执行的漏洞设定了100万美元的奖金。

根据Meta对以色列间谍软件制造商NSO集团提起的诉讼文件，NSO客户曾利用该公司在WhatsApp中发现的零日漏洞，使用飞马（Pegasus）间谍软件对51个国家的数百个目标实施监控。最新披露的文件还显示，这一漏洞为NSO带来数千万美元收入。 

2019年5月，WhatsApp发现其应用程序VoIP堆栈中的一个漏洞（CVE-2019-3568），NSO利用该漏洞向所有主要操作系统（Android、iOS和Windows）的聊天应用用户投放Pegasus。此次攻击影响了大约1400台移动设备。目标包括一系列记者、人权活动家和异见人士。

2023年12月，加州联邦法院就Meta于2019年提起的诉讼作出有利判决。此前NSO被指控利用WhatsApp漏洞入侵用户设备（包括100名记者和人权活动家）实施监控。法院驳回了NSO"在同意WhatsApp服务条款前已发现漏洞"等抗辩理由，裁定其未履行证据开示义务。NSO表示将上诉，赔偿金额尚未确定。  

一批曾经过编辑或密封的法庭文件被公开，揭示了NSO活动的惊人规模。一份内部文件列出1223名通过WhatsApp漏洞被监控的目标，其中墨西哥受害者最多（423人），其次为印度（100人）、巴林（82人）、摩洛哥（69人）和巴基斯坦（58人）。  

所以，Meta成为今年Pwn2Own赛事最大的金主也就好理解了。

与往年一样，比赛首日将通过随机抽签确定尝试顺序，并依此进行。注册将于2025年10月16日下午5:00（爱尔兰标准时间）截止，不接受任何迟到报名。如有疑问，请通过邮件联系：pwn2own@trendmicro.com

本届赛事共有八大类别：

• 移动电话

• 消息应用类别

• SOHO Smashup

• 智能家居设备

• 打印机

• 网络附加存储（NAS）设备

• 监控系统设备

• 可穿戴设备类别

目标手机

Pwn2Own 最初在阿姆斯特丹举办时，被称为“Mobile Pwn2Own”，专注于手机。移动设备始终是本赛事的核心，去年针对三星的一些成果令人叹为观止。一如既往，这些手机将运行各自操作系统的最新版本，并安装所有可用更新。

今年，主办方引入了 USB 端口作为攻击向量。漏洞利用必须仅针对用户可访问的 USB 端口。目标手机在尝试开始时将处于锁屏状态。伪造面具或异常指纹等攻击方式不在范围内。请务必查阅规则以获取完整详情。

此外，参赛者必须通过以下方式妥协设备：在目标设备默认浏览器中浏览内容，或通过以下短距离协议进行通信：近场通信（NFC）、Wi-Fi、蓝牙或基带（Baseband）。该类别的奖励如下：

• USB 攻击必须针对用户可直接访问的 USB 端口。其他暴露的 USB 端口及目标拆解不在范围内。攻击期间目标设备将保持锁屏状态。目标设备可处于“首次解锁前”或“首次解锁后”状态。使用合成生物识别数据（如伪造面具、指纹等）的欺骗攻击无效。

• USB 向量的成功参赛作品必须实现任意代码执行，或解锁目标并允许攻击者在无限制登录会话中进一步与目标交互。

• 远程向量的成功参赛作品必须通过以下方式攻破设备：在目标默认浏览器中浏览网页内容，或通过以下无线电协议通信：近场通信（NFC）、Wi-Fi、蓝牙或基带。

消息应用类别

Pwn2Own在2009年，当时总奖金仅为 2 万美元。时代变迁。如今，WhatsApp 的全球用户超过 30 亿，传输的消息中可能包含高度敏感信息。这也是某些威胁行为体将其作为目标的原因之一。去年，主办方为 0-click 漏洞提供了 30 万美元的奖励，但这似乎未能满足“漏洞到利用”的等式。得益于与 Meta 的合作，主办方大幅提高了奖金金额。此外，主办方还新增了非代码执行漏洞作为获奖项目。由于这是一个重大变化且奖励金额可观，请在比赛前通过邮件与主办方联系，以澄清任何问题或误解。不同手机和操作系统可能作为测试目标，请查阅规则获取完整列表。消息应用类别的完整奖励列表如下：

零点击 / 单点击：

• 零点击参赛作品无需用户交互即可触发漏洞利用链。如需预设，目标设备可预先处于与攻击者的对话线程查看状态。

• 单点击参赛作品可能需要受害者多次点击，但执行一个逻辑动作。例如，若点击媒体文件后 WhatsApp 显示警告对话框，需接受/关闭以触发漏洞，此为有效参赛作品，需两次点击但一个逻辑动作。受害者接受 VOIP 通话并共享屏幕需两次或更多点击，且至少两个逻辑动作，无效。赞助商保留自行决定权，判定何为逻辑动作，并在注册过程中与参赛者达成一致。

无效参赛作品示例：

• 通过目标设备默认 SMS 应用程序的 SMS 获取零点击信息泄露，结合 WhatsApp 的远程代码执行漏洞。

• 通过需在目标设备上其他应用程序打开的媒体文件传递的单点击漏洞利用。

• 如需，参赛者可在尝试前将攻击者电话号码添加到受害者联系人中。此外，仅在查看聊天线程时可达的漏洞不计入点击次数。例如，仅在查看聊天线程时触发的漏洞利用链仍视为零点击。若该漏洞利用链需与消息交互（如点击图片或播放视频），则视为单点击。

零点击 / 单点击远程代码执行：

针对零点击/单点击远程代码执行选项的参赛作品必须在 WhatsApp 消费者客户端上演示，限于以下目标设备：

• 三星 Galaxy S25

• 小米 Redmi 13 5G（骁龙 4 Gen 2 AE）

• 谷歌 Pixel 9

• 苹果 iPhone 16

有效的远程代码执行参赛作品可针对 WhatsApp 依赖的任何代码（包括目标平台操作系统提供的代码），只要该代码加载到应用程序地址空间中。

若漏洞利用链针对 WhatsApp 资源（代码或数据），且需应用程序重启以触发部分漏洞利用链，允许应用程序重启以触发所需条件，但不得需要除再次启动应用程序外的进一步用户交互。

其他选项：

• 针对远程零点击账户接管选项的参赛作品，需展示通过注册为目标设备电话接收消息的能力，且无需访问确认码。社会工程学不在比赛范围内。

• 针对远程零点击访问麦克风或视频流选项的参赛作品，其有效载荷必须在无用户交互情况下访问目标设备的原始麦克风或视频流。

• 针对远程零点击或单点击访问用户敏感数据选项的参赛作品，需通过 WhatsApp 漏洞泄露聊天历史、备份、用户精确位置或 WhatsApp 可访问的媒体。通过云存储泄露不在范围内。

• 针对零点击冒充其他用户选项的参赛作品，需展示修改其他用户消息、作为其他用户发送消息或看似如此的能力。消息必须在用户界面上显示为来自被冒充账户的独立聊天气泡。回复和引用消息不在范围内。

 SOHO Smashup

由于远程办公的普及，许多企业的网络边界转移到了家庭办公室。威胁行为体可利用家用路由器和消费设备作为跳板，横向移动至企业资源。主办方希望在比赛中展示这一点，因此 SOHO Smashup 类别依然具有重要意义。今年的设备列表明显减少（希望也更复杂），主办方旨在提升难度，挑战研究人员展现最佳水平。如果参赛者在 30 分钟内攻破两台设备，将获得 10 万美元及 10 个 Master of Pwn 积分。

智能家居设备

严格来说，这是今年的新类别，但实际上是将之前的几个类别合并而成。该类别的尝试必须针对目标设备暴露的网络服务、射频（RF）攻击面，或从参赛者在比赛网络内的笔记本电脑上发起的暴露功能。

挑战打印机

打印机长期以来是笑话和迷因的来源，但它们也是办公室中常被忽视的攻击面。打印机类别总能带来有趣的结果，例如播放不应播放的音乐或偶尔的 Rick Roll。本届赛事新增 Brother 作为目标品牌。期待参赛者带来怎样的漏洞利用（以及创意）。

网络附加存储（NAS）设备

NAS 设备再次回归 Pwn2Own。今年，QNAP 作为新目标加入，Synology 设备继续参战。该类别的尝试必须针对目标设备暴露的网络服务、射频（RF）攻击面，或从参赛者在比赛网络内的笔记本电脑发起。对于 Synology DiskStation 目标，主办方启用了以下多个软件包，均在范围内：

• Synology MailPlus Server

• Synology Drive Server

• 虚拟机管理器（Virtual Machine Manager）

• 快照复制（Snapshot Replication）

• 监控站（Surveillance Station）

• Synology Photos

• Synology Office

• Synology AI Console

监控系统设备

主办方已超越单一无线摄像头，将其整合为监控系统类别。要在该类别获胜，参赛者必须针对完全集成到监控系统中、处于正常运行状态并完成所有必要配置的设备发起攻击。需要物理访问的攻击不在范围内，因此禁止向摄像头展示二维码等操作。该类别的尝试必须针对目标设备暴露的网络服务、射频（RF）攻击面，或从参赛者在比赛网络内的笔记本电脑发起。

可穿戴设备

主办方过去曾尝试过可穿戴设备，但 Meta 的最新技术再次激发了主办方的兴趣。本届赛事，主办方将 Meta Ray-Ban 智能眼镜和 Meta Quest 3/3S 列入目标。主办方设定了两种获胜级别：无需交互的漏洞利用将获得更高奖励，但单次交互的漏洞利用也将获奖。此外，每种目标均可通过远程、近距离或有限物理访问方式攻击。希望多样化的选择能激励参赛者带来有趣的成果。可穿戴设备类别的奖励细则如下：

Master of Pwn

没有哪场 Pwn2Own 比赛能缺少 Master of Pwn 的加冕，这是比赛的最高荣誉。获胜者将获得一座炫酷奖杯、一件独特的“可穿戴”奖励，以及 65,000 ZDI 奖励积分（即 2026 年白金会员资格）。

对于不熟悉规则的读者，积分通过每次成功尝试累积。虽然每个类别仅首次展示可获得全额现金奖励，但每次成功尝试均可获得完整的 Master of Pwn 积分。由于尝试顺序由随机抽签决定，获得较后尝试时段的参赛者仍有机会争夺 Master of Pwn 称号——即使他们的现金奖励较低。与往届比赛一样，注册后退出尝试将受到处罚。

比赛结束时积分最高的参赛者（“Master of Pwn”）将获得 65,000 ZDI 奖励积分（估计价值 25,000 美元）。总积分根据上表中分配的 Master of Pwn 积分计算成功参赛作品的总和。例如，若参赛者在谷歌 Pixel 9 和苹果 iPhone 16 上各有一次远程向量成功参赛作品，其总积分为 60。若比赛结束时两名或以上参赛者积分相同，每位参赛者均将获得 65,000 ZDI 奖励积分（估计价值 25,000 美元）。

若参赛者在尝试期间移除附加奖金，该附加奖金的 Master of Pwn 积分将从该尝试的最终积分中扣除。若参赛者在比赛开始后退出注册尝试，该尝试的 Master of Pwn 积分将除以 2 并从参赛者的比赛总积分中扣除。

除非类别描述另有说明，首个获奖者除奖金外，还将赢得目标设备（估计价值 500 美元）。获奖者无权获得实际奖品价值与估计奖品价值之间的差额（若有）。估计奖品价值为本比赛规则印刷之日的值。

某类别可能无获奖者。若某类别无获奖者，赞助商可自行决定将该类别奖金用于在上述其他类别中提供额外奖项，金额可能等于或低于该类别初始奖金。获奖几率取决于类别中符合资格的参赛者数量及满足此基于技能的比赛要求的能力。奖品将在获奖者满足本文规定要求后的 八（8）周内发放。

奖品必须按颁发形式接受，不得转让、分配、替换或兑换现金，除非赞助商自行决定。奖品的未使用部分将被没收，无现金价值。赞助商保留自行决定权，若因任何原因无法颁发奖品（或其任何部分），可替换等值或更高价值的奖品。奖品税费（若有）由获奖者自行负责。

赞助商保留自行决定权，在规则发布与比赛期间，若目标或设备发布新版本、更新、加固或召回，可增加或修改类别。

赞助商对任何丢失或错误寄送的奖品不承担责任。

参考资料：

https://www.zerodayinitiative.com/blog/2025/7/30/pwn2own-returns-to-ireland-with-a-one-million-dollar-whatsapp-target

https://www.zerodayinitiative.com/Pwn2OwnIreland2025Rules.html