A maior competição de hacking do mundo, o Pwn2Own Ireland 2025, continua revelando falhas críticas nos dispositivos que usamos todos os dias. No segundo dia do evento, os pesquisadores de segurança demonstraram vulnerabilidades graves em smartphones, impressoras, sistemas de armazenamento e dispositivos inteligentes — incluindo o hack bem-sucedido do Samsung Galaxy S25.
Com 56 novas falhas de dia zero (zero-day) descobertas e mais de US$ 790.000 em prêmios distribuídos, o evento reforça o papel crucial dos pesquisadores de segurança em identificar brechas antes que cibercriminosos as explorem. Este artigo detalha os principais alvos, as equipes vencedoras e o que essas descobertas significam para a segurança dos seus dispositivos.
O destaque do dia: Samsung Galaxy S25 comprometido
O grande momento do Pwn2Own 2025 foi o comprometimento do Samsung Galaxy S25, o principal smartphone da categoria móvel. Os pesquisadores Ken Gannon e Dimitrios Valsamaras, da equipe STAR Labs SG, realizaram uma façanha impressionante ao explorar uma cadeia complexa de cinco vulnerabilidades para assumir o controle total do dispositivo.
A demonstração, que durou poucos minutos, garantiu à equipe um prêmio de US$ 50.000 e o respeito da comunidade de segurança. O feito destaca não apenas o nível de habilidade dos pesquisadores, mas também a complexidade crescente dos sistemas modernos — mesmo em dispositivos de ponta como o Galaxy S25, considerado um dos mais seguros da atualidade.
Chuva de “dia zero” em dispositivos de casa e escritório
O Samsung Galaxy S25 não foi o único alvo do dia. O segundo dia do Pwn2Own Ireland 2025 também expôs vulnerabilidades em sistemas NAS, impressoras e dispositivos inteligentes, mostrando que tanto ambientes corporativos quanto domésticos estão sob risco.
Entre os destaques:
- O QNAP TS-453E foi hackeado em apenas um segundo, em uma das explorações mais rápidas já vistas no evento.
- O Synology DS925+ também foi comprometido com sucesso por meio de uma vulnerabilidade de execução remota.
- Impressoras populares como a Canon imageCLASS MF654Cdw e a Lexmark CX532adwe foram exploradas por diferentes equipes.
- No setor de dispositivos IoT, a Phillips Hue Bridge e o Amazon Smart Plug também revelaram falhas preocupantes.
Essas descobertas reforçam um alerta constante: a segurança não é apenas um problema de computadores e celulares, mas de toda a casa conectada.
O que é uma falha “dia zero”?
Uma falha de dia zero (zero-day) é uma vulnerabilidade desconhecida pelo fabricante e que, portanto, ainda não possui correção disponível. Isso significa que, até que o fornecedor lance uma atualização (patch), o dispositivo permanece vulnerável a ataques.
Essas falhas são especialmente perigosas porque hackers mal-intencionados podem explorá-las antes que o problema seja descoberto — e é exatamente isso que o Pwn2Own tenta evitar, recompensando os pesquisadores que as revelam de forma ética.
A importância do Pwn2Own: 90 dias para correções
O Pwn2Own tem um papel essencial na cibersegurança moderna: encontrar falhas de forma ética e responsável. Todos os resultados são entregues diretamente aos fabricantes, que têm 90 dias para desenvolver e lançar correções antes que a Zero Day Initiative (ZDI) divulgue os detalhes técnicos publicamente.
Graças a essa política, as falhas encontradas no Pwn2Own Ireland 2025 serão corrigidas de forma segura, sem expor os usuários a riscos imediatos. É importante que os proprietários de dispositivos Samsung, QNAP, Synology e Philips fiquem atentos às atualizações de firmware e segurança nas próximas semanas.
Expectativa para o dia 3: o hack de US$ 1 milhão do WhatsApp
O terceiro e último dia do Pwn2Own 2025 promete ser ainda mais intenso. O Samsung Galaxy S25 voltará a ser alvo — desta vez, em uma tentativa de ataque de execução remota de código (RCE) dentro do WhatsApp.
A recompensa oferecida para esse desafio é de US$ 1 milhão, o maior prêmio individual do evento, e atrai as melhores equipes do mundo.
O perigo do ataque “zero-click”
O ataque em questão é do tipo “zero-click”, ou seja, não exige nenhuma ação do usuário — como clicar em um link ou abrir um arquivo. Esse tipo de vulnerabilidade é considerado extremamente perigoso, pois permite que invasores comprometam o dispositivo apenas enviando uma mensagem maliciosa.
Caso o ataque seja bem-sucedido, ele poderá se tornar um dos momentos mais marcantes da história do Pwn2Own.
Conclusão: a segurança é um processo contínuo
Com o fim do segundo dia, o Pwn2Own Ireland 2025 já acumula mais de US$ 1,3 milhão em prêmios pagos e mais de 90 falhas descobertas. A Summoning Team segue na liderança geral, enquanto fabricantes correm para corrigir as vulnerabilidades antes da divulgação pública.
A principal lição é clara: nenhum software é perfeito. Por isso, mantenha sempre seus dispositivos atualizados — sejam eles celulares, roteadores, NAS ou impressoras. Eventos como o Pwn2Own mostram que a segurança é uma corrida sem linha de chegada.
