Ερευνητές ασφαλείας χάκαραν ένα μόντεμ Tesla και συνέλεξαν βραβεία 722.500 δολαρίων την πρώτη ημέρα του Pwn2Own Automotive 2024 για τρεις συγκρούσεις σφαλμάτων και 24 μοναδικά κατορθώματα μηδενικής ημέρας.
Ομάδα Synacktiv (
@Synacktiv
) πήρε 100.000 $ μετά την επιτυχή αλυσίδα τριών σφαλμάτων
zero-day
για να λάβετε δικαιώματα root σε ένα μόντεμ Tesla
.
Χρησιμοποίησαν επίσης δύο μοναδικές αλυσίδες δύο σφαλμάτων για να χακάρουν ένα
Σταθμός EV Ubiquiti Connect
και έναν σταθμό φόρτισης JuiceBox 40 Smart EV, κερδίζοντας επιπλέον 120.000 $.
Μια τρίτη αλυσίδα εκμετάλλευσης που στοχεύει το
Φορτιστής ChargePoint Home Flex EV
ήταν ήδη γνωστό, αλλά τους έφερε 16.000 δολάρια σε μετρητά, με συνολικά 295.000 δολάρια σε έπαθλα κατά την πρώτη ημέρα του διαγωνισμού.
Ερευνητές ασφαλείας χάκαραν επίσης με επιτυχία πολλαπλούς πλήρως επιδιορθωμένους σταθμούς φόρτισης EV και συστήματα ψυχαγωγίας, με την ομάδα του NCC Group EDG να παίρνει τη δεύτερη θέση στο leaderboard αφού κέρδισε 70.000 $ για zero-days που αξιοποιήθηκαν για να χακάρουν το
Σύστημα ψυχαγωγίας Pioneer DMH-WT7600NEX
και το
Φορτιστής Phoenix Contact CHARX SEC-3100 EV
.
Μετά την εκμετάλλευση και αναφορά των σφαλμάτων zero-day κατά τη διάρκεια του διαγωνισμού Pwn2Own, οι προμηθευτές έχουν στη διάθεσή τους 90 ημέρες για να αναπτύξουν και να εκδώσουν διορθώσεις ασφαλείας προτού το Zero Day Initiative της TrendMicro τις αποκαλύψει δημόσια.
Leaderboard μετά την πρώτη μέρα του Pwn2Own Automotive
Ο
διαγωνισμός
hacking Pwn2Own Automotive 2024 επικεντρώνεται στις
τεχν
ολογίες αυτοκινήτου και λαμβάνει χώρα αυτή την εβδομάδα στο Τόκιο της Ιαπωνίας, κατά τη διάρκεια του
Κόσμος Αυτοκινήτου
αυτόματη διάσκεψη μεταξύ 24 Ιανουαρίου και 26 Ιανουαρίου.
Καθ’ όλη τη διάρκεια του διαγωνισμού, οι ερευνητές ασφαλείας θα μπορούν να στοχεύουν συστήματα In-vehicle infotainment (IVI), φορτιστές ηλεκτρικών οχημάτων (EV) και λειτουργικά συστήματα αυτοκινήτου (π.χ. Automotive Grade Linux, BlackBerry QNX, Android Automotive OS) της Tesla.
Θα παρουσιάσουν επίσης συστήματα zero-day που στοχεύουν σε συστήματα Tesla Model 3/Y (με βάση το Ryzen) ή Tesla Model S/X (με βάση το Ryzen), συμπεριλαμβανομένου του συστήματος ψυχαγωγίας, του μόντεμ, του δέκτη, του ασύρματου και του αυτόματου πιλότου.
Το κορυφαίο βραβείο θα απονεμηθεί για VCSEC, πύλη ή αυτόματο πιλότο zero-days, με χρηματικό έπαθλο 200.000 $ και ένα αυτοκίνητο Tesla.
Μπορείτε να βρείτε το πλήρες πρόγραμμα του φετινού διαγωνισμού hacking αυτοκινήτου
εδώ
. Το πλήρες πρόγραμμα της πρώτης ημέρας και τα
αποτελέσματα
για κάθε πρόκληση είναι διαθέσιμα
εδώ
.
Κατά τη διάρκεια του διαγωνισμού Pwn2Own Vancouver 2023 τον Μάρτιο, οι ερευνητές ασφαλείας κέρδισαν 1.035.000 $ και ένα αυτοκίνητο Tesla Model 3 μετά από επίδειξη 27 zero-day (και αρκετές συγκρούσεις σφαλμάτων).
VIA:
bleepingcomputer.com
