Pwn2Own Automotive 2024، أول مسابقة قرصنة تركز على تقنيات السيارات

تم الإعلان مؤخرًا عن نتائج حدث Pwn2Own Automotive الأول، والذي عقد على مدى ثلاثة أيام في مؤتمر عالم السيارات في طوكيو والذي تم فيه الكشف عن إجمالي 49 نقطة ضعف لم تكن معروفة سابقًا في منصات المعلومات والترفيه في السيارات وأنظمة التشغيل وأجهزة شحن السيارات الكهربائية.

في Pwn2Own Automotive 2024 تم تقديم مكافآت لنقاط الضعف في الفئات مكون من: تسلا، نظام المعلومات والترفيه داخل السيارة (IVI)، شواحن السيارات الكهربائية وأنظمة التشغيل. ولكل فئة مجموعة من الأهداف التي يمكن للمتسابق تحديدها أثناء عملية التسجيل. يجب أن تؤدي جميع الإدخالات إلى اختراق الجهاز وإظهار تنفيذ تعليمات برمجية عشوائية على الجهاز.

الكثير تم تنفيذ الهجمات باستخدام أحدث البرامج الثابتة وأنظمة التشغيل، مع كافة التحديثات المتاحة وفي التكوين الافتراضي.

تجاوز المبلغ الإجمالي للأجور 1.3 مليون دولار أمريكيs، مع فريق Synacktiv الرائد بأرباح قدرها 450 ألف دولار. حصل الفائزون بالمركز الثاني (fuzzware.io) على 177,500 دولار أمريكي وحصل الفائزون بالمركز الثالث (Midnight Blue) على 80,000 دولار أمريكي.

خلال المسابقة، وظهرت العديد من الهجمات، بما في ذلك:

• اختراقان لبيئة تعتمد على توزيع Automotive Grade Linux، وحصلا على مكافأة قدرها 47,500 دولار و35,000 دولار. ألغى اثنان من المشاركين طلباتهما لمهاجمة EMPORIA EV Charger Level 2 ومنصة Automotive Grade Linux.
• اختراق واضح لنظام المعلومات والترفيه في سيارة Tesla، والذي تمت مكافأته بمبلغ 100,000 دولار لكل استغلال يشتمل على سلسلة من خللين.
• اختراق مودم مستخدم في سيارة Tesla بمكافأة قدرها 100,000 دولار لكل استغلال يشتمل على سلسلة من ثلاثة أخطاء.
• خمسة اختراقات لنظام المعلومات والترفيه يعتمد على منصة Sony XAV-AX5500 تمت مكافأتهم بمبلغ 40,000 دولار، و20,000 دولار، و20,000 دولار، و20,000 دولار، و10,000 دولار
• اختراق نظام معلومات ترفيهي يعتمد على منصة Pioneer DMH-WT7600NEX (40,000 ألف دولار لكل استغلال يتضمن سلسلة من ثلاثة أخطاء).
• ستة اختراقات لنظام معلومات وترفيه يعتمد على منصة Alpine Halo9 iLX-F509 (40,000 ألف دولار لاستغلال الذاكرة التي تم إصدارها بالفعل، 20,000 ألف دولار لثغرة استبدال الأوامر، 20,000 ألف دولار لثغرة تجاوز سعة المخزن المؤقت، 20,000 ألف دولار لاستغلال يتضمن سلسلة من خطأين، 20,000 ألف دولار) لكل برمجية إكسبلويت تتضمن سلسلة من خطأين، 10,000 دولار أمريكي لكل برمجية إكسبلويت تتضمن سلسلة من خطأين).
• اختراقان لمحطة شحن Ubiquiti Connect EV Station (60,000 ألف دولار و30,000 ألف دولار للثغرات التي تنطوي على سلسلة من الخلل).
• ثلاثة عمليات اختراق لمحطة الشحن CHARX SEC-3100 الخاصة بشركة Phoenix Contact (60,000 ألف دولار لاستغلال يشتمل على سلسلة من خطأين، و30,000 ألف دولار لثغرة أمنية مرتبطة بعدم كفاية التحقق من بيانات الإدخال، و30,000 ألف دولار لاستغلال يتضمن سلسلة من ثلاثة أخطاء، و22,500 دولار لثغرة أمنية) استغلال يتضمن سلسلة من خطأين، 26,250 دولارًا أمريكيًا لاستغلال يتضمن سلسلة من أربعة أخطاء).
• اخترق محطة الشحن EMPORIA EV Charger Level 2 (60,000 دولارًا أمريكيًا للاستغلال الذي يتضمن تجاوز سعة المخزن المؤقت).
• أربعة اختراقات لمحطة شحن JuiceBox 40 Smart EV (60,000 ألف دولار للاستغلال الذي يتضمن سلسلة من الخطأين، و30,000 ألف دولار لتجاوز سعة المخزن المؤقت، و30,000 ألف دولار لتجاوز سعة المخزن المؤقت، و15,000 ألف دولار).
• سبعة اختراقات على محطة الشحن ChargePoint Home Flex، مما يسمح لك بتشغيل التعليمات البرمجية على مستوى البرامج الثابتة للجهاز (60,000 دولار، 30,000 دولار، 30,000 دولار، 16,000 دولار، 16,000 دولار، 16,000 دولار، 5000 دولار).
• ثلاثة اختراقات لمحطة الشحن التجارية Autel MaxiCharger AC Wallbox (30,000 ألف دولار لاستغلال تجاوز سعة المكدس، و30,000 ألف دولار لاستغلال سلسلة ذات خطوتين، و22,500 دولار لاستغلال سلسلة ذات خطوتين).
• عشر محاولات لاختراق أجهزة أبرزها: Sony وPhoenix وContact وPioneer وAlpine وغيرها، لكنها باءت بالفشل.

ومن المهم تسليط الضوء على أنسيتم نشر المعلومات التفصيلية حول جميع ثغرات يوم الصفر المثبتة بعد 90 يومًا، مما يمنح الشركات المصنعة وقتًا لإعداد التحديثات التي تعمل على إصلاح نقاط الضعف هذه، وفقًا لشروط المسابقة.

وأخيرا إذا كنت أنامهتم بمعرفة المزيد عنه، علبة تحقق من الرابط التالي حيث ستجد المزيد من المعلومات حول النشاط خلال الأيام الثلاثة لـ Pwn2Own Automotive.