În prima zi a competiției Pwn2Own Automotive 2025, cercetătorii în securitate au exploatat 16 zero-day-uri unice și au câștigat 382.750 de dolari în premii în bani.
Fuzzware.io conduce competiția după ce a hackuit încărcătoarele de vehicule electrice Autel MaxiCharger și Phoenix Contact CHARX SEC-3150 folosind o suprasarcină bazată pe stivă și o eroare de validare a originii. Acest lucru le-a adus 50.000 de dolari și 10 puncte Master of Pwn.
Sina Kheirkhah de la Summoning Team a câștigat, de asemenea, 91.750 de dolari și 9,25 puncte Master of Pwn după ce a hackuit încărcătoarele EV Ubiquiti și Phoenix Contact CHARX SEC-3150 folosind o eroare de cheie criptografică codată în dur, precum și o combinație de trei zero-day-uri (unul dintre ele fiind cunoscut anterior).
Echipa Synacktiv se află pe locul trei în clasament și a luat acasă 57.500 de dolari după ce a demonstrat cu succes o eroare în protocolul OCPP pentru a hackui ChargePoint Home Flex (Model CPH50) folosind manipularea semnalului printr-un conector.
Cercetătorii în securitate de la PHP Hooligans au hackuit, de asemenea, cu succes un încărcător Autel complet patch-uit folosind o suprasarcină bazată pe heap și au câștigat 50.000 de dolari, în timp ce echipa Viettel Cyber Security a colectat 20.000 de dolari după ce a obținut execuția de cod pe Kenwood In-Vehicle Infotainment (IVI) folosind o zero-day de injectare a comenzilor OS.
După ce vulnerabilitățile zero-day sunt exploatate și raportate în timpul Pwn2Own, vendorii au 90 de zile pentru a dezvolta și a lansa patch-uri de securitate înainte ca Zero Day Initiative al TrendMicro să le facă publice.
Competiția de hacking Pwn2Own Automotive 2025, care se concentrează pe tehnologiile auto, are loc în Tokyo, în perioada 22-24 ianuarie, în cadrul conferinței auto Automotive World.
Pe parcursul concursului, cercetătorii în securitate pot viza încărcătoarele de vehicule electrice (EV), sistemele de infotainment auto și sistemele de operare auto (cum ar fi Automotive Grade Linux, Android Automotive OS și BlackBerry QNX).
În timp ce Tesla a furnizat și un unit benchtop echivalent pentru Model 3/Y (bazat pe Ryzen), participanții s-au înregistrat doar împotriva conectorului de perete al companiei.
Programul complet al concursului de hacking auto din acest an este disponibil aici, în timp ce programul pentru prima zi și rezultatele pentru fiecare provocare pot fi găsite aici.
În timpul primei ediții a Pwn2Own Automotive din ianuarie 2024, hackerii au colectat 1.323.750 de dolari pentru hackuirea de două ori a Tesla și demonstrarea a 49 de zero-day-uri în mai multe sisteme auto electrice.
Două luni mai târziu, în cadrul Pwn2Own Vancouver 2024, cercetătorii în securitate au câștigat 1.132.500 de dolari după ce au exploatat 29 de zero-day-uri (și câteva coliziuni de bug-uri). Synacktiv a plecat acasă cu 200.000 de dolari și un automobil Tesla Model 3 după ce a hackuit ECU cu Controlul CAN BUS al Vehiculului (VEH) în mai puțin de 30 de secunde.
Noul botnet Mirai vizează rutere industriale cu exploatări zero-day
Japonia avertizează asupra vulnerabilităților routerelor IO-Data zero-day exploatate în atacuri
FTC ordonă GM să înceteze colectarea și vânzarea datelor șoferilor
Asigurătorul auto Allstate dat în judecată pentru urmărirea șoferilor fără permisiune
Guvernul SUA spune că Coreea de Nord a furat peste 659 de milioane de dolari în criptomonede anul trecut
Leave a Reply