Resultaterne af den første Pwn2Own Automotive-begivenhed blev for nylig offentliggjort, afholdt over tre dage på Automotive World-konferencen i Tokyo, og hvor i alt 49 hidtil ukendte sårbarheder blev afsløret i automotive infotainment-platforme, operativsystemer og opladningsenheder til elektriske køretøjer.
Hos Pwn2Own Automotive 2024 der blev tilbudt belønninger for sårbarheder i kategorierne sammensat af: Tesla, In-Vehicle Infotainment (IVI), Elbilopladere og operativsystemer. Hver kategori har et sæt mål, som deltageren kan vælge under registreringsprocessen. Alle indtastninger skal kompromittere enheden og demonstrere vilkårlig kodeudførelse på enheden.
masse angreb blev udført ved hjælp af de nyeste firmware og operativsystemer, med alle tilgængelige opdateringer og i standardkonfiguration.
Det samlede vederlag oversteg 1.3 millioner amerikanske dollarss, med Synacktiv-teamet førende med et overskud på 450 tusind dollars. Andenpladsvindere (fuzzware.io) modtog $177,500 og tredjepladsvindere (Midnight Blue) modtog $80,000.
Under konkurrencen, Der blev demonstreret flere angreb, bl.a:
- To hacks af et miljø baseret på Automotive Grade Linux-distributionen, som blev belønnet med $47,500 og $35,000. To deltagere annullerede deres anmodninger om at angribe EMPORIA EV Charger Level 2 og Automotive Grade Linux-platformen.
- Demonstreret hacking af en Tesla-bils infotainmentsystem, som blev belønnet med $100,000 pr. udnyttelse, der involverede en kæde af to fejl.
- Hacking af et modem brugt i en Tesla-bil med en belønning på $100,000 pr. udnyttelse, der involverer en kæde af tre fejl.
- Fem hacks af et infotainmentsystem baseret på Sony XAV-AX5500-platformen belønnet med $40,000, $20,000, $20,000, $20,000 og $10,000
- Hacking af et infotainmentsystem baseret på Pioneer DMH-WT7600NEX-platformen ($40,000 pr. udnyttelse, der involverer en kæde af tre fejl).
- Seks hacks til et infotainmentsystem baseret på Alpine Halo9 iLX-F509-platformen ($40,000 for den allerede frigivne hukommelsesudnyttelse, $20,000 for kommandosubstitutionssårbarheden, $20,000 for bufferoverløbssårbarheden, $20,000 for udnyttelsen, der involverer en kæde af to fejl, 20,000 $10,000, pr. udnyttelse, der involverer en kæde af to fejl, $XNUMX pr. udnyttelse, der involverer en kæde af to fejl).
- To hacks af Ubiquiti Connect EV Station-ladestationen ($60,000 og $30,000 for udnyttelser, der involverer en kæde af to fejl).
- Tre hacks af Phoenix Contacts CHARX SEC-3100 ladestation ($60,000 for en udnyttelse, der involverer en kæde af to fejl, $30,000 for en sårbarhed forbundet med utilstrækkelig verifikation af inputdata, $30,000 for en udnyttelse, der involverer en kæde af tre fejl, $22,500, udnyttelse, der involverer en kæde af to fejl, $26,250 for en udnyttelse, der involverer en kæde af fire fejl).
- Hack EMPORIA EV Charger Level 2 ladestationen ($60,000 for en udnyttelse, der involverer et bufferoverløb).
- Fire hacks af JuiceBox 40 Smart EV-ladestationen ($60,000 for en udnyttelse, der involverer en kæde af to fejl, $30,000 for bufferoverløb, $30,000 for bufferoverløb, $15,000).
- Syv hacks på ChargePoint Home Flex-ladestationen, så du kan køre kode på enhedens firmwareniveau ($60,000, $30,000, $30,000, $16,000, $16,000, $16,000, $5000).
- Tre hacks af Autel MaxiCharger AC Wallbox kommercielle ladestation ($30,000 for en stak-overløbsudnyttelse, $30,000 for en to-miss kædeudnyttelse og $22,500 for en to-miss kædeudnyttelse).
- Ti forsøg på at hacke enheder, blandt hvilke skiller sig ud: Sony, Phoenix, Contact, Pioneer, Alpine blandt andre, hvilket mislykkedes.
Det er vigtigt at fremhæve, atDetaljerede oplysninger om alle påviste nul dages sårbarheder vil blive offentliggjort efter 90 dage, hvilket giver producenterne tid til at forberede opdateringer, der løser disse sårbarheder, i overensstemmelse med vilkårene for konkurrencen.
Endelig hvis du er jegInteresseret i at lære mere om det, puedes tjek følgende link hvor du finder mere information om aktiviteten i løbet af de tre dage med Pwn2Own Automotive.