Cercetătorii în securitate au reușit să spargă de două ori încărcătorul de vehicule electrice Tesla Wall Connector în a doua zi a concursului de hacking Pwn2Own Automotive 2025.
De asemenea, au exploatat alte 23 de vulnerabilități zero-day în încărcătoarele WOLFBOX, ChargePoint Home Flex, Autel MaxiCharger, Phoenix Contact CHARX și EMPORIA EV, precum și în sistemele Alpine iLX-507, Kenwood DMX958XR, Sony XAV-AX8500 In-Vehicle Infotainment (IVI).
PHP Hooligans au fost primii care au făcut să pice Tesla Wall Connector folosind o vulnerabilitate zero-day de Comparare a Intervalului Numeric fără Verificare Minimă pentru a prelua controlul asupra dispozitivului. Au fost urmați de Synacktiv, care, de asemenea, au spart încărcătorul EV Tesla prin Conectorul de Încărcare, o abordare care nu a fost demonstrată în public până acum.
Astăzi, două coliziuni de bug-uri au avut loc în încercările de spargere a Tesla Wall Connector: una de echipa PCAutomotive și cealaltă de echipa Summoning lui Sina Kheirkhah, care a folosit un lanț de exploatare format din două bug-uri deja cunoscute.
Conform regulilor concursului Pwn2Own Tokyo 2025, toate dispozitivele vizate în timpul competiției trebuie să aibă instalate toate actualizările de securitate și să ruleze cele mai recente versiuni de sisteme de operare.
Zero Day Initiative a premiat cu 335.500 de dolari în numerar în a doua zi pentru cele 23 de vulnerabilități zero-day. Sina Kheirkhah conduce în prezent la Master of Pwn.
În prima zi a Pwn2Own Automotive, cercetătorii în securitate au exploatat 16 vulnerabilități zero-day unice și au câștigat 382.750 de dolari în premii în numerar. După încheierea competiției, furnizorii vor avea 90 de zile pentru a dezvolta și a lansa remedieri de securitate înainte ca ZDI să facă publice vulnerabilitățile zero-day.
Concursul de hacking Pwn2Own Automotive 2025 se va concentra pe tehnologiile auto în perioada 22-24 ianuarie, în cadrul conferinței Automotive World din Tokyo, Japonia.
Hackerii vor viza sistemele de operare auto (cum ar fi Automotive Grade Linux, Android Automotive OS și BlackBerry QNX), încărcătoarele de vehicule electrice (EV) și sistemele de infotainment în mașină (IVI).
Chiar dacă Tesla a furnizat și o unitate de banc de testare echivalentă cu Model 3/Y (bazată pe Ryzen), niciun cercetător în securitate nu a încercat să atace încărcătorul de perete al companiei înainte ca programul competiției să fie publicat. Programul pentru a doua zi și rezultatele fiecărei provocări pot fi găsite și aici.
Cu un an în urmă, în timpul primei ediții a Pwn2Own Automotive din Tokyo, cercetătorii în securitate au primit 1.323.750 dolari pentru spargerea unei Tesla de două ori și pentru exploatarea a 49 de bug-uri zero-day în mai multe sisteme auto electrice.
Hackerii exploatează 16 vulnerabilități zero-day în prima zi a Pwn2Own Automotive 2025
Noul botnet Mirai vizează routere industriale cu exploatații zero-day
Japonia avertizează asupra vulnerabilităților zero-day ale routerelor IO-Data folosite în atacuri
Vulnerabilitățile critice zero-day afectează modulele premium de imobiliare WordPress
Cisco avertizează asupra unei vulnerabilități de denegare a serviciului cu cod de exploatare PoC
Leave a Reply