Competiția de hacking Pwn2Own Automotive 2025 s-a încheiat cu cercetătorii în securitate colectând 886.250 de dolari după exploatarea a 49 de zero-days.
Pe durata evenimentului, aceștia au vizat software-ul și produsele auto, inclusiv încărcătoarele de vehicule electrice (EV), sistemele de operare auto (cum ar fi Android Automotive OS, Automotive Grade Linux și BlackBerry QNX) și sistemele de infotainment in-vehicle (IVI).
Potrivit regulilor competiției Pwn2Own Tokyo 2025, toate dispozitivele vizate rulează cele mai recente versiuni de sistem de operare și au instalate toate actualizările de securitate.
În timp ce Tesla a furnizat și o unitate de banc de lucru echivalentă cu Model 3/Y (bazată pe Ryzen), cercetătorii în securitate care au participat la competiție au încercat doar să exploateze încărcătorul de perete al companiei.
Competitorii au colectat 382.750 de dolari în premii în numerar după demonstrarea a 16 zero-days unice în prima zi și alți 335.500 de dolari în a doua zi după exploatarea altor 23 de vulnerabilități zero-day și hackuirea încărcătorului EV Tesla de două ori. În a treia zi a Pwn2Own, aceștia au colectat încă 168.000 de dolari pentru alte 10 zero-days.
După ce zero-days sunt demonstrate și raportate în cadrul evenimentelor Pwn2Own, furnizorii au 90 de zile pentru a lansa patch-uri de securitate înainte ca Zero Day Initiative a TrendMicro să le facă publice.
Echipa Summoning condusă de Sina Kheirkhah a câștigat ediția din acest an a Pwn2Own Automotive 2025 cu 30,5 puncte Master of Pwn și 222.250 de dolari în premii câștigate după hackuirea mai multor încărcătoare EV și sistemelor In-Vehicle Infotainment (IVI).
Synacktiv a obținut locul doi cu 147.500 de dolari, PHP Hooligans a câștigat 110.000 de dolari, fuzzware.io va pleca acasă cu 68.750 de dolari, iar Viettel Cyber Security a colectat 53.750 de dolari pentru exploatarea zero-day demonstrată pe parcursul celor trei zile ale competiției.
Rezultatele pentru fiecare provocare în ultima zi a Pwn2Own Automotive 2025 și rezultatele finale pot fi găsite aici.
În cadrul primei ediții a Pwn2Own Automotive din ianuarie 2024, cercetătorii în securitate au câștigat 1.323.750 de dolari pentru demonstrarea a 49 de bug-uri zero-day în mai multe sisteme auto electrice și hackuirea unei mașini Tesla de două ori.
Doi luni mai târziu, în cadrul competiției Pwn2Own Vancouver 2024, ZDI a acordat încă 1.132.500 de dolari pentru 29 de bug-uri zero-day. Synacktiv a plecat acasă cu 200.000 de dolari și un Tesla Model 3 după ce a hackuit ECU-ul acestuia cu Controlul Vehicle (VEH) CAN BUS în mai puțin de 30 de secunde.
Hackerii exploatează 16 zero-days în prima zi a Pwn2Own Automotive 2025
Încărcătorul EV Tesla a fost hackuit de două ori în a doua zi a Pwn2Own Tokyo
Noul botnet Mirai vizează routere industriale cu exploatarea zero-day
Japonia avertizează cu privire la vulnerabilitățile zero-day ale routerelor IO-Data exploatate în atacuri
CISA: Hackerii continuă să exploateze bug-urile mai vechi Ivanti pentru a pătrunde în rețele
Leave a Reply