A competição de hacking Pwn2Own Ireland 2025 chegou ao fim, com pesquisadores de segurança recebendo um total de US$ 1.024.750 em prêmios após explorarem 73 vulnerabilidades zero-day.
Nesta edição, os participantes focaram em produtos de oito categorias: impressoras, sistemas de armazenamento em rede (NAS), aplicativos de mensagens, dispositivos domésticos inteligentes, equipamentos de vigilância, equipamentos de rede residencial, smartphones topo de linha (Apple iPhone 16, Samsung Galaxy S25 e Google Pixel 9) e tecnologias vestíveis, como os óculos inteligentes Ray-Ban da Meta e os headsets Quest 3/3S.
Uma novidade deste ano foi a ampliação da superfície de ataque para incluir a exploração de portas USB em smartphones, exigindo que os pesquisadores invadissem dispositivos bloqueados por meio de conexão física.
Ainda assim, protocolos tradicionais como Bluetooth, Wi-Fi e NFC continuaram sendo vetores válidos de ataque.
Realizado entre 21 e 23 de outubro na cidade de Cork, Irlanda, o evento foi co-patrocinado pela Meta, em parceria com as empresas QNAP e Synology.
A equipe Summoning Team conquistou o primeiro lugar, acumulando 22 pontos no ranking Master of Pwn e ganhando US$ 187.500 ao longo dos três dias, após explorar falhas no Samsung Galaxy S25, no NAS Synology DiskStation DS925+, no Home Assistant Green, no aparelho Synology ActiveProtect Appliance DP320, na câmera Synology CC400W e no NAS QNAP TS-453E.
Em segundo lugar, a Team ANHTUD faturou US$ 76.750 e 11,5 pontos Master of Pwn, enquanto a Team Synactiv ficou em terceiro, com US$ 90.000 em prêmios e 11 pontos.
No primeiro dia do Pwn2Own Ireland, foram explorados 34 zero-days exclusivos, totalizando US$ 522.500 em prêmios.
No segundo dia, mais 22 vulnerabilidades únicas foram demonstradas, com pagamentos que somaram US$ 267.500.
O destaque do último dia foi o hack no Samsung Galaxy S25 pela equipe Interrupt Labs, que explorou uma falha de validação de entrada incorreta.
Eles receberam 5 pontos Master of Pwn e US$ 50.000, além de terem ativado o rastreamento de localização e a câmera do aparelho durante a exploração.
A Team Z3, que estava programada para demonstrar uma vulnerabilidade zero-click de execução remota de código no WhatsApp — válida para um prêmio de US$ 1 milhão — decidiu se retirar da competição.
Optaram por compartilhar suas descobertas diretamente com os analistas da Zero Day Initiative (ZDI) e, posteriormente, com a equipe de engenharia da Meta.
Organizada pela Zero Day Initiative, a competição tem como objetivo identificar vulnerabilidades de segurança antes que atacantes mal-intencionados possam explorá-las, coordenando a divulgação responsável junto aos fabricantes afetados.
Após as explorações no Pwn2Own, os fornecedores têm um prazo de 90 dias para lançar patches, antes que a Zero Day Initiative da Trend Micro divulgue publicamente as falhas.
Em janeiro de 2026, a ZDI estará presente na feira tecnológica Automotive World, em Tóquio (Japão), para a terceira edição do Pwn2Own Automotive, que terá novamente a Tesla como patrocinadora.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...