Sommario
Durante il Pwn2Own Automotive 2024, tenutosi a Tokyo, Giappone, i ricercatori di sicurezza hanno dimostrato 24 exploit zero-day unici e tre collisioni di bug, riuscendo a hackerare un modem Tesla e altri dispositivi. La competizione, focalizzata sulle tecnologie automotive, ha visto premi per un totale di $722,500 assegnati il primo giorno.
Successi del Team Synacktiv
Il team Synacktiv ha guadagnato $100,000 dopo aver sfruttato con successo tre bug zero-day per ottenere permessi di root su un modem Tesla. Hanno inoltre utilizzato due catene uniche di due bug per hackerare una stazione di ricarica EV Ubiquiti Connect e una JuiceBox 40 Smart EV Charging Station, guadagnando altri $120,000.
Altri Hackeraggi di Successo
I ricercatori hanno hackerato con successo diverse stazioni di ricarica EV completamente aggiornate e sistemi di infotainment, con il team NCC Group EDG che ha ottenuto il secondo posto nella classifica dopo aver vinto $70,000 per exploit zero-day sfruttati per hackerare il sistema di infotainment Pioneer DMH-WT7600NEX e il caricatore EV Phoenix Contact CHARX SEC-3100.
Processo di Divulgazione
Dopo che i bug zero-day sono sfruttati e segnalati durante la competizione Pwn2Own, i fornitori hanno 90 giorni per sviluppare e rilasciare correzioni di sicurezza prima che TrendMicro’s Zero Day Initiative li divulghi pubblicamente.
Focus del Concorso e Premi
Il concorso Pwn2Own Automotive 2024 si concentra su sistemi di infotainment per veicoli (IVI), caricabatterie per veicoli elettrici (EV) e sistemi operativi per auto. I ricercatori dimostrano exploit zero-day mirati ai sistemi Tesla Model 3/Y o Model S/X, inclusi infotainment, modem, tuner, wireless e autopilota. Il premio principale viene assegnato per exploit zero-day di VCSEC, gateway o autopilota, con un premio in denaro di $200,000 e un’auto Tesla.
Questo evento evidenzia l’importanza della sicurezza nelle tecnologie automotive e la necessità di test continui per proteggere contro vulnerabilità sconosciute. La competizione Pwn2Own fornisce una piattaforma cruciale per identificare e correggere queste vulnerabilità in modo proattivo.
