Sommario
WhatsApp diventa il bersaglio più ambito del Pwn2Own 2025, con una ricompensa di oltre 900.000 euro per un exploit 0-click che consenta l’esecuzione di codice proprio come Paragon Graphite. Trend Micro, attraverso il proprio programma Zero Day Initiative, annuncia una nuova edizione dell’evento Pwn2Own in Irlanda, dal 21 al 24 ottobre 2025, fissando nuovi standard per la sicurezza informatica globale. La città di Cork, già sede dell’edizione 2024, accoglierà nuovamente i migliori ricercatori di sicurezza del mondo in una sfida che combina riconoscimento tecnico, premi economici e impatto sulla sicurezza reale dei prodotti.
Un premio senza precedenti per WhatsApp
Il target principale dell’edizione 2025 è WhatsApp, sponsorizzato direttamente da Meta, che offre un bounty da 916.781 euro per la scoperta di una vulnerabilità 0-click in grado di portare a esecuzione di codice. Questo premio rappresenta più del triplo rispetto al valore assegnato per lo stesso tipo di exploit nel 2024 (275.034 euro), a conferma della crescente attenzione verso le app di messaggistica istantanea come vettori di attacco privilegiati. Il bug 0-click, per definizione, non richiede alcuna interazione da parte dell’utente, e la sua scoperta comporta impatti devastanti sulla privacy. Proprio per questo, Meta e Trend Micro spingono sulla prevenzione incentivando gli hacker etici con premi milionari.
Sponsor e scenari realistici per il testing
Oltre a Meta, Synology e QNAP sono tra i principali sponsor dell’evento, supportando le sezioni dedicate ai dispositivi di archiviazione di rete (NAS). Queste categorie prevedono la compromissione di servizi come MailPlus Server tramite exploit remoti, in scenari che simulano condizioni di rete domestiche e aziendali. Trend Micro riconosce che il supporto dei vendor è essenziale per garantire ambienti di test realistici, dove i partecipanti possano misurarsi con infrastrutture simili a quelle realmente presenti in milioni di case e uffici. In questo contesto, Pwn2Own si consolida come evento di riferimento per la sicurezza embedded e domestica.
Quattro giorni tra exploit, pub e dispositivi wearable
Dal 21 al 24 ottobre 2025, Cork si trasformerà in capitale mondiale dell’hacking etico, con una competizione articolata in otto categorie che spaziano dai dispositivi mobili ai sistemi smart home, dalle stampanti ai wearable. Ogni categoria ha requisiti precisi: ad esempio, nella sezione Mobile, gli attacchi devono essere eseguiti via USB o protocolli wireless, con esclusione esplicita di tecniche biometriche come maschere e impronte digitali. I dispositivi vengono testati in stato bloccato, per aumentare la complessità del challenge. Tra i nuovi target spiccano gli occhiali Meta Ray-Ban e i visori Quest 3/3S, a conferma dell’interesse verso la sicurezza dei dispositivi indossabili connessi. Trend Micro mantiene viva la componente sociale dell’evento: sessioni di networking si terranno nei pub del centro e il gran finale è previsto ancora una volta al suggestivo Cork City Gaol, trasformato per l’occasione in arena per hacker.
Record del 2024 e nuove ambizioni
Nel 2024, il Pwn2Own irlandese ha assegnato 977.641 euro distribuiti su oltre 70 vulnerabilità zero-day, tra cui exploit memorabili come la riproduzione remota di musica su stampanti Brother. L’edizione 2025 punta a superare quel traguardo, con un bounty individuale record e la previsione di decine di exploit su target critici. Tra i premi intermedi già confermati, si segnala SOHO Smashup, una categoria dedicata alla compromissione di dispositivi smart home e router aziendali in sequenza, che garantisce 91.678 euro e 10 punti Master of Pwn. Questo titolo, assegnato a chi totalizza più punti nell’evento, è diventato ambito quanto il montepremi stesso, poiché rappresenta una credenziale tecnica di prestigio.
Le regole: disclosure completa e 30 minuti per colpire
Trend Micro ha aggiornato le regole della competizione, mantenendo alcuni capisaldi come il limite di 30 minuti per eseguire l’exploit e la richiesta di disclosure completa ai vendor coinvolti. I partecipanti dovranno inoltre rispettare lo scope tecnico previsto per ciascuna categoria e saranno monitorati per garantire fair play e assenza di collusioni. L’organizzazione pubblicherà un resoconto dettagliato al termine dell’evento, contenente le vulnerabilità scoperte, l’impatto tecnico e le tempistiche di patch, contribuendo a informare l’intera comunità della sicurezza.
La strategia di registrazione: talento selezionato e setup dedicati
La registrazione è già aperta e segue un processo selettivo. I ricercatori devono presentare una proposta dettagliata dell’exploit previsto, che verrà valutata per originalità e fattibilità. I partecipanti scelti riceveranno un ambiente di test dedicato e avranno l’opportunità di preparare l’attacco in anticipo. Trend Micro limita volontariamente il numero di partecipanti per garantire una gestione precisa e sicura dei tentativi, con slot pre-assegnati e setup controllati. Le spese di viaggio saranno coperte per i vincitori, incentivando la partecipazione di talenti globali.
Le implicazioni: più sicurezza per miliardi di utenti
Gli impatti di Pwn2Own Irlanda 2025 vanno ben oltre l’arena della competizione. L’evento accelera la scoperta e la correzione di vulnerabilità critiche che potrebbero essere sfruttate da attori malevoli. In particolare, l’attenzione verso WhatsApp, utilizzata da oltre 2 miliardi di utenti nel mondo, evidenzia l’importanza di proteggere le piattaforme di comunicazione quotidiana. Con l’introduzione del vettore USB nella categoria mobile, Trend Micro mostra una crescente attenzione per scenari d’attacco reali, come la compromissione tramite caricatori modificati. Questo porta i ricercatori a confrontarsi con sfide sempre più vicine al mondo reale, migliorando le difese globali.
Un benchmark globale per la cybersecurity
In pochi anni, Pwn2Own Irlanda è diventato un benchmark per la sicurezza globale, capace di influenzare roadmap tecniche e budget di aziende di ogni settore. Meta, QNAP, Synology e altri vendor presenti traggono benefici diretti, riducendo il rischio di exploit reali e dimostrando impegno nella security by design. L’evento si configura come un acceleratore di innovazione in ambito offensivo e difensivo, in un momento storico in cui la sicurezza informatica è al centro di tensioni geopolitiche, crisi industriali e sorveglianza sociale. Trend Micro, con questo evento, assume un ruolo centrale nella definizione delle priorità tecniche del 2025.
Vettori USB e exploit 0-click
Tra i dettagli tecnici più significativi dell’edizione 2025 spicca l’utilizzo della porta USB come vettore privilegiato per la categoria Mobile. Questo scenario implica attacchi in grado di eseguire codice senza interazione dell’utente, simulando situazioni in cui un caricatore contraffatto possa compromettere un dispositivo. Trend Micro configura i telefoni per test con porte bloccate e restrizioni hardware, rendendo l’attacco più difficile ma anche più realistico. La sfida è doppia: bypassare le protezioni del sistema operativo e mantenere la stabilità del dispositivo. In parallelo, la caccia al bug 0-click su WhatsApp richiederà exploit sofisticati basati su parsing di messaggi, media o notifiche push. L’assenza di interazione utente rende questi attacchi estremamente critici, con un rischio reale per la privacy e l’integrità dei dati. Con Pwn2Own Irlanda 2025, Trend Micro fissa nuove metriche di qualità per la ricerca di sicurezza, elevando il valore degli hacker etici nella difesa digitale globale.
