Meta amplia la ricerca sulla sicurezza di WhatsApp con una ricompensa di 4 milioni di dollari

Meta ha ampliato il suo programma bug bounty per WhatsApp, annunciando nuovi incentivi per migliorare la ricerca sulla sicurezza della piattaforma di messaggistica, oltre a un premio di 4 milioni di dollari per gli hacker white hat che scoprono vulnerabilità.

Secondo il comunicato stampa dell'azienda tecnologica pubblicato martedì, WhatsApp è un obiettivo redditizio per gli hacker finanziati dallo Stato e per gli sviluppatori di spyware commerciali. Meta ha affermato che la nuova iniziativa mira a facilitare l'indagine delle strategie di hacking utilizzate specificamente sull'app di messaggistica istantanea.

Meta lancia WhatsApp Research Proxy per i ricercatori di bug bounty

Meta ha introdotto uno strumento chiamato WhatsApp Research Proxy per aiutare i ricercatori di sicurezza ad esaminare il protocollo di rete della piattaforma di messaggistica in modo più efficace. Inizialmente disponibile per un gruppo selezionato di partecipanti di lunga data al programma bug bounty, l'azienda afferma che contribuisce a semplificare le indagini sull'infrastruttura di WhatsApp.

Il Research Proxy è pensato per aiutare a scoprire vulnerabilità che altrimenti potrebbero passare inosservate e sono in corso progetti per estendere l'accesso a un maggior numero di ricercatori nel tempo, fino alla sua pubblicazione nei prossimi mesi.

"Il nostro obiettivo è quello di ridurre le barriere d'ingresso per accademici e altri ricercatori che potrebbero non avere familiarità con i bug bounty, consentendo loro di partecipare al nostro programma", ha affermato un portavoce di Meta. "I client e l'infrastruttura server di WhatsApp sono obiettivi importanti, ma anche tra le superfici più difficili in cui trovare bug".

Meta emette 25 milioni di dollari in pagamenti per la partecipazione globale alla caccia ai bug

Meta ha confermato di aver già stanziato 4 milioni di dollari quest'anno per quasi 800 report convalidati. Negli ultimi 15 anni, l'azienda ha erogato oltre 25 milioni di dollari a 1.400 ricercatori provenienti da 88 paesi e ha ricevuto circa 13.000 candidature da ricercatori di sicurezza di tutto il mondo.

Secondo l'ultimo blog della società madre di Facebook e Instagram, i ricercatori accademici dell'Università di Vienna hanno recentemente segnalato un nuovo metodo per enumerare gli account WhatsApp su larga scala. 

Lo studio dell'Università di Vienna ha generato elenchi di possibili numeri di telefono utilizzando strumenti open-source e ha verificato se i numeri registrati su WhatsApp contenessero informazioni accessibili al pubblico. Sebbene la ricerca abbia superato i limiti previsti dalla piattaforma, Meta ha affermato che ha evidenziato preziose falle di sicurezza che è necessario correggere.

Altri bug sono stati riscontrati in un difetto di convalida incompleta nelle versioni di WhatsApp precedenti alla v2.25.23.73, WhatsApp Business per iOS v2.25.23.82 e WhatsApp per Mac v2.25.23.83. 

Le vulnerabilità avrebbero potuto consentire agli aggressori di elaborare contenuti recuperati da URL arbitrari sul dispositivo di un altro utente. Meta ha rilasciato una patch a livello di sistema operativo per risolvere CVE-2025-59489, un exploit che avrebbe potuto installare malware sui dispositivi Quest per eseguire codice arbitrario sulle applicazioni Unity.

Nella sua conferenza annuale Bug Bounty Researcher, il ricercatore di sicurezza RyotaK ha vinto il premio "Most Impact Award" perdentidentificato bug nella vulnerabilità del dispositivo Quest tracal codice di terze parti di Unity. Il ricercatore ha collaborato con Unity per risolvere il problema che affliggeva le app basate su Unity 2017.1 e versioni successive.

Meta ottiene la vittoria legale nel caso antitrust della FTC statunitense

L'annuncio del programma di ricompense per la segnalazione di bug di Meta arriva sulla scia di una vittoria legale nella causa antitrust contro la Commissione federale per il commercio degli Stati Uniti, come riportato da Cryptopolitan martedì 

Cinque anni fa, la FTC aveva affermato che Meta deteneva il monopolio dei social network tramite Instagram e WhatsApp. In un parere memorandum, il giudice James Boasberg della Corte distrettuale degli Stati Uniti di Washington, DC, ha affermato che la FTC non era riuscita a dimostrare la fondatezza della propria tesi. 

"Che Meta enjo meno goduto di un potere monopolistico in passato, l'agenzia deve dimostrare di continuare a detenere tale potere anche ora. Il verdetto odierno della Corte stabilisce che la FTC non lo ha fatto. Una sentenza in tal senso sarà emessa oggi stesso."

Il CEO di Meta Mark Zuckerberg, l'ex responsabile operativo Sheryl Sandberg, il co-fondatore di Instagram Kevin Systrom e altri dirigenti hanno tutti rilasciato le loro testimonianze all'inizio di quest'anno. Il tribunale aveva archiviato il caso nel 2021 per mancanza di prove, sebbene la FTC avesse presentato un reclamo modificato quell'anno con metriche e dati degli utenti aggiornati. 

Dopo una revisione, Boasberg ha autorizzato il procedimento nel 2022, ma questa settimana si è finalmente pronunciato a favore di Meta.

Joe Simonson, direttore degli affari pubblici della FTC, ha sostenuto che Meta era favorito dal giudice Boasberg, il quale, a suo dire, "stava attualmente affrontando articoli di impeachment". 

"Stiamo valutando tutte le nostre opzioni", ha detto Simonson ai giornalisti dopo la sentenza, insinuando che potrebbe esserci un altro appello.