Η πρώτη έκδοση του Pwn2Own Automotive ολοκληρώθηκε με τους ανταγωνιστές να κερδίζουν 1.323.750 $ για το χάκαρισμα της Tesla δύο φορές και την επίδειξη 49 σφαλμάτων zero-day σε πολλαπλά συστήματα ηλεκτρικών αυτοκινήτων μεταξύ 24 Ιανουαρίου και 26 Ιανουαρίου.
Κατά τη διάρκεια του διαγωνισμού που διοργάνωσε η Trend Micro’s Zero Day Initiative (ZDI) στο Τόκιο της Ιαπωνίας, κατά τη διάρκεια του συνεδρίου Automotive World auto, χάκερ στόχευσαν πλήρως διορθωμένους φορτιστές ηλεκτρικών οχημάτων (EV), συστήματα ενημέρωσης και ψυχαγωγίας και λειτουργικά συστήματα αυτοκινήτων.
Μετά την εκμετάλλευση μιας ευπάθειας zero-day και την αναφορά στους προμηθευτές κατά τη διάρκεια του Pwn2Own, έχουν στη διάθεσή τους 90 ημέρες για να εκδώσουν ενημερώσεις κώδικα ασφαλείας προτού το αποκαλύψει δημόσια η πρωτοβουλία Zero Day της Trend Micro.
Μπορείτε να βρείτε το πλήρες σετ στόχων και τους κανόνες του Pwn2Own Automotive
εδώ
. Αναγράφεται το πλήρες πρόγραμμα
εδώ
.
Ο διαγωνισμός Pwn2Own Automotive
2024
κέρδισε ο
Team Synacktiv
ο οποίος πήρε 450.000 $ σε μετρητά, ακολουθούμενο από το fuzzware.io με $177.500 και το Midnight Blue/PHP Hooligans με $80.000.
Pwn2Own leaderboard (ZDI)
Το
Synacktiv χακάρισε το αυτοκίνητο της Tesla δύο φορές, λαμβάνοντας δικαιώματα root σε ένα μόντεμ Tesla συνδέοντας τρία τρωτά σημεία την πρώτη ημέρα και κάνοντας επίδειξη μιας διαφυγής sandbox του Tesla Infotainment System μέσω μιας αλυσίδας εκμετάλλευσης δύο μηδενικών ημερών τη δεύτερη ημέρα.
Επίσης, παρουσίασαν δύο μοναδικές αλυσίδες δύο σφαλμάτων έναντι του
Σταθμός EV Ubiquiti Connect
και τον σταθμό
φόρτιση
ς JuiceBox 40 Smart EV, καθώς και ένα exploit τριών σφαλμάτων που στοχεύει
Automotive Grade Linux OS
.
Η Synactiv κυριάρχησε επίσης στον διαγωνισμό Pwn2Own Vancouver 2023 τον Μάρτιο, κερδίζοντας 530.000 $ και ένα αυτοκίνητο Tesla για δύο αλυσίδες exploit που στοχεύουν το Gateway και το Infotainment Unconfined Root.
Τον Οκτώβριο, στο Pwn2Own Toronto 2023, χάκερ κέρδισαν πάνω από 1 εκατομμύριο δολάρια για 58 εκμεταλλεύσεις zero-day και πολλαπλές συγκρούσεις σφαλμάτων που στοχεύουν καταναλωτικά προϊόντα, συμπεριλαμβανομένου του smartphone
Samsung Galaxy
S23, πολλαπλών μοντέλων εκτυπωτών, συστημάτων παρακολούθησης και συσκευών αποθήκευσης συνδεδεμένων με το δίκτυο (NAS). .
Νωρίτερα αυτό το μήνα, το ZDI
ανακοινώθηκε
ότι ο διαγωνισμός Pwn2Own Vancouver 2024 έχει προγραμματιστεί να πραγματοποιηθεί από τις 20 Μαρτίου κατά τη διάρκεια του συνεδρίου CanSecWest 2024.
Η εκδήλωση θα περιλαμβάνει ένα έπαθλο άνω του 1.000.000 $ για κατορθώματα σε διάφορες κατηγορίες λογισμικού και συστήματα αυτοκινήτων που βρέθηκαν στα αυτοκίνητα Tesla
Model 3
και Model S.
VIA:
bleepingcomputer.com
