Sicurezza Informatica

Pwn2Own Automotive 2025: 40 zero day per hackerare EV

da Livio Varriale
scritto da Livio Varriale 0 commenti 4 minuti leggi
Pwn2Own Automotive 2025

Il Pwn2Own Automotive 2025 di Tokyo, evento annuale che riunisce i migliori ricercatori di sicurezza del mondo, ha messo in luce vulnerabilità critiche nei sistemi di veicoli elettrici (EV), caricabatterie e infotainment. Nei primi due giorni della competizione, i partecipanti hanno individuato ed exploitato oltre 39 vulnerabilità zero-day, dimostrando quanto sia fragile la sicurezza nei dispositivi automobilistici moderni.

Pwn2Own Automotive 2025: 16 vulnerabilità zero-day scoperte

That wraps up Day 1 of #Pwn2Own Automotive 2025! We awarded $382,750 for 16 unique 0-days. The fuzzware.io team is current in the lead for Master of Pwn, but @SinSinology is right on their heels. Stay tuned tomorrow for more results and surprises. #P2OAuto

[image or embed]

— Zero Day Initiative (@thezdi.bsky.social) 22 gennaio 2025 alle ore 13:10

Il primo giorno di Pwn2Own Tokyo ha visto la scoperta di 16 vulnerabilità zero-day che hanno fruttato ai ricercatori 382.750 dollari in premi. Tra i momenti salienti:

  • Fuzzware.io ha hackato i caricabatterie Autel MaxiCharger e Phoenix Contact CHARX SEC-3150, sfruttando bug come un buffer overflow basato su stack e un errore di convalida dell’origine. Questo exploit ha permesso loro di ottenere 50.000 dollari e 10 punti Master of Pwn.
  • Synacktiv Team ha utilizzato vulnerabilità nel protocollo OCPP per compromettere il caricabatterie ChargePoint Home Flex manipolando i segnali tramite il connettore.

Questi risultati ottenuti nel Pwn2Own Automotive 2025 dimostrano che i sistemi apparentemente sicuri possono essere compromessi da errori non rilevati durante lo sviluppo.

Secondo giorno: Tesla nel mirino

Day 2 of #Pwn2Own Automotive comes to a close. We awarded $335,500, which brings the event total to $718,250. So far, 39 unique 0-days have been disclosed, & we've seen research never before demonstrated. @SinSinology has a commanding lead for Master of Pwn. Stay tuned for Day 3.

[image or embed]

— Zero Day Initiative (@thezdi.bsky.social) 23 gennaio 2025 alle ore 12:09

Il secondo giorno, i ricercatori hanno raddoppiato i loro sforzi, sfruttando 23 nuove vulnerabilità zero-day, incluse quelle sui caricabatterie Tesla Wall Connector e su vari sistemi di infotainment (IVI).

  • PHP Hooligans sono stati i primi a compromettere il caricabatterie Tesla Wall Connector sfruttando un bug di confronto numerico senza controllo minimo.
  • Il team Synacktiv ha utilizzato una tecnica inedita per manipolare il connettore di carica Tesla, ottenendo il controllo del dispositivo.

Nel complesso, la seconda giornata ha prodotto premi per un totale di 335.500 dollari.

Le implicazioni per la sicurezza automobilistica

I risultati di Pwn2Own Automotive 2025 di Tokyo evidenziano i rischi crescenti associati alle tecnologie connesse nei veicoli moderni. Dai caricabatterie EV ai sistemi di infotainment, l’integrazione della connettività e dell’elettronica rende i veicoli più vulnerabili agli attacchi informatici.

Caricabatterie EV: un bersaglio crescente

I caricabatterie per veicoli elettrici, come i Tesla Wall Connector e i ChargePoint Home Flex, sono particolarmente sensibili agli attacchi per diverse ragioni:

  • Ampia diffusione: Con l’aumento dell’adozione di veicoli elettrici, questi dispositivi diventano un obiettivo attraente per gli hacker.
  • Connettività remota: Molti caricabatterie sono dotati di funzionalità di monitoraggio e gestione da remoto, creando potenziali punti di ingresso per gli attacchi.
  • Interferenza operativa: Gli hacker potrebbero manipolare i caricabatterie per interrompere i processi di ricarica o compromettere la rete energetica locale.

Sistemi di infotainment: vulnerabilità meno ovvie ma significative

Dispositivi come l’Alpine iLX-507 e il Sony XAV-AX8500 sono stati compromessi durante la competizione utilizzando bug di gestione della memoria e attacchi di escalation dei privilegi. Sebbene questi sistemi siano generalmente considerati meno critici rispetto ai sistemi di controllo dei veicoli, le vulnerabilità possono essere sfruttate per:

Annunci
  • Accesso ai dati personali: Molti utenti sincronizzano dispositivi mobili con i sistemi IVI, esponendo informazioni personali come contatti, messaggi e cronologia delle posizioni.
  • Punto d’ingresso per attacchi più ampi: Un sistema IVI compromesso può essere utilizzato per accedere ad altri componenti connessi del veicolo.

L’importanza della competizione Pwn2Own Automotive 2025

Il Pwn2Own Automotive 2025 non è solo una vetrina delle capacità dei ricercatori, ma svolge un ruolo cruciale nel rafforzare la sicurezza globale. Le vulnerabilità scoperte vengono segnalate ai produttori, che hanno un periodo di 90 giorni per risolvere i problemi prima che siano divulgati pubblicamente. Questo approccio incentiva l’industria a migliorare la sicurezza dei propri dispositivi.

Premi e riconoscimenti

Durante i primi due giorni della competizione, i partecipanti hanno ricevuto 718.250 dollari in premi per i loro exploit. Tra i leader della competizione:

  • Sina Kheirkhah, che guida la classifica di Master of Pwn grazie a una serie di attacchi riusciti contro i dispositivi Tesla e Phoenix Contact.
  • Synacktiv Team, che ha dimostrato approcci inediti per compromettere i caricabatterie Tesla.

Il Pwn2Own Automotive 2025, qui i video ufficiali, sottolinea l’importanza di un approccio proattivo alla sicurezza informatica nel settore automobilistico. Con l’aumento dell’interconnessione nei veicoli e nei dispositivi associati, diventa essenziale per i produttori investire in test di penetrazione, aggiornamenti regolari e protocolli di sicurezza più robusti.

Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

Microsoft si scusa per la rimozione delle estensioni...

Attacco phishing su Booking.com: minaccia ClickFix per il...

SocGholish: malware che facilita la distribuzione del ransomware...

Typosquatting: arma silenziosa nelle mani dei cybercriminali

GitLab corregge vulnerabilità APT e CISA ne comunica...

USAID non è morta, l’Europa ha una sua...

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara