$1,3 млн за 49 нулевых угроз: в Токио завершился Pwn2Own Automotive 2024

В Токио завершился первый чемпионат по взлому автомобильных систем Pwn2Own Automotive 2024, на котором участники заработали $1,323,750, дважды взломав автомобиль Tesla и продемонстрировав 49 zero-day уязвимостей в системах различных электромобилей. Хакерское состязание проходило с 24 по 26 января.

Конкурс, организованный Zero Day Initiative (ZDI) от Trend Micro в рамках автомобильной конференции Automotive World, предложил хакерам ряд целей для атаки, включая полностью обновлённые зарядные станции для электромобилей, мультимедийные системы и непосредственно операционные системы автомобилей.

После того, как белому хакеру удаётся успешно проэксплуатировать уязвимость нулевого дня, о ней сообщают производителю, у которого есть 90 дней на выпуск патча безопасности перед тем, как подробности об уязвимости будут публично раскрыты.

Так как состязание уже завершилось, известны и победители. В этом году ими стали белые хакеры из команды Synacktiv, которым удалось заработать $450,000. За ними следуют команды fuzzware.io с $177,500 и Midnight Blue/PHP Hooligans с $80,000.

Команда Synacktiv дважды взломала электромобиль Tesla. В первый день хакеры использовали три 0day уязвимости для доступа к модему автомобиля, а на второй день успешно проэксплуатировали ещё две 0day уязвимости, продемонстрировав утечку из песочницы мультимедийных систем Tesla.

Synacktiv также продемонстрировала две уникальные цепочки из двух уязвимостей, направленных на зарядные станции Ubiquiti Connect EV и JuiceBox 40 Smart EV, а также эксплойт из трёх уязвимостей, нацеленный на операционную систему Automotive Grade Linux.

Примечательно, что хакерская команда Synactiv также заняла первое место и на чемпионате Pwn2Own Vancouver 2023 в марте, заработав $530,000 и автомобиль Tesla за две цепочки эксплойтов, нацеленные на шлюз и мультимедийную систему.

Ранее в этом месяце ZDI объявила, что чемпионат Pwn2Own Vancouver 2024 запланирован на 20 марта в рамках конференции CanSecWest 2024, так что мы ещё определённо услышим о ребятах из Synacktiv.

На грядущем мероприятии будут представлены призы на сумму свыше $1,000,000 за эксплойты в различных категориях программного обеспечения и автомобильных системах, найденных в автомобилях Tesla Model 3 и Model S.