Очередной этап хакерского поединка Pwn2Own Automotive 2025, посвященный автомобильным технологиям, проходит в рамках конференции Automotive World 2025 в Токио и должен завершится 24 января.
В первый день Pwn2Own Automotive 2025 исследователи обнаружили 16 уникальных 0-day и смогли выиграть 382 750 долларов США в качестве вознаграждений.
Fuzzware.io лидирует в соревновании после взлома зарядных устройств для электромобилей Autel MaxiCharger и Phoenix Contact CHARX SEC-3150 с использованием стекового переполнения буфера и ошибки проверки происхождения. Это принесло им 50 000 долларов.
Сина Кхейркха из Summoning Team также заработал $91 750 после взлома зарядных устройств Ubiquiti и Phoenix Contact CHARX SEC-3150 EV с помощью жестко запрограммированной ошибки криптографического ключа и комбинации из трех нулей (одна из них была известна ранее).
Команда Synacktiv Team заняла третье место в таблице лидеров, заработав 57 500 долларов после успешной демонстрации уязвимости в протоколе OCPP для взлома ChargePoint Home Flex (модель CPH50) с помощью манипуляции сигналом через разъем.
Исследователи PHP Hooligans также успешно взломали полностью пропатченное зарядное устройство Autel с помощью переполнения буфера на основе кучи и заработали 50 000 долларов.
Viettel Cyber Security смогли вынести лишь 20 000 долларов после выполнения кода в информационно-развлекательной системе Kenwood In-Vehicle Infotainment (IVI) с помощью 0-day, связанной с внедрением команд ОС.
В рамках этого этапа в распоряжении исследователей зарядные устройства для электромобилей (EV), информационно-развлекательные системы (IVI) и автомобильные операционные системы (например, Automotive Grade Linux, Android Automotive OS и BlackBerry QNX).
Примечательно, что по Tesla поступило крайне мало заявок: участники соревнований зарегистрировали лишь попытки взлома настенного разъема Model 3/Y при наличии эквивалентного настольного устройства (на базе Ryzen).
Расписание первого дня и результаты каждого испытания - здесь. Будем следить, удастся ли участникам превзойти предыдущий Pwn2Own Automotive 2024 по части выигрыша, тогда хакеры сорвали куш в размере 1 323 750 долларов.
Традиционно, после того демонстрации нулей в ходе Pwn2Own у поставщиков будет 90 дней на разработку исправлений, прежде чем TrendMicro Zero Day Initiative публично их раскроет.
В первый день Pwn2Own Automotive 2025 исследователи обнаружили 16 уникальных 0-day и смогли выиграть 382 750 долларов США в качестве вознаграждений.
Fuzzware.io лидирует в соревновании после взлома зарядных устройств для электромобилей Autel MaxiCharger и Phoenix Contact CHARX SEC-3150 с использованием стекового переполнения буфера и ошибки проверки происхождения. Это принесло им 50 000 долларов.
Сина Кхейркха из Summoning Team также заработал $91 750 после взлома зарядных устройств Ubiquiti и Phoenix Contact CHARX SEC-3150 EV с помощью жестко запрограммированной ошибки криптографического ключа и комбинации из трех нулей (одна из них была известна ранее).
Команда Synacktiv Team заняла третье место в таблице лидеров, заработав 57 500 долларов после успешной демонстрации уязвимости в протоколе OCPP для взлома ChargePoint Home Flex (модель CPH50) с помощью манипуляции сигналом через разъем.
Исследователи PHP Hooligans также успешно взломали полностью пропатченное зарядное устройство Autel с помощью переполнения буфера на основе кучи и заработали 50 000 долларов.
Viettel Cyber Security смогли вынести лишь 20 000 долларов после выполнения кода в информационно-развлекательной системе Kenwood In-Vehicle Infotainment (IVI) с помощью 0-day, связанной с внедрением команд ОС.
В рамках этого этапа в распоряжении исследователей зарядные устройства для электромобилей (EV), информационно-развлекательные системы (IVI) и автомобильные операционные системы (например, Automotive Grade Linux, Android Automotive OS и BlackBerry QNX).
Примечательно, что по Tesla поступило крайне мало заявок: участники соревнований зарегистрировали лишь попытки взлома настенного разъема Model 3/Y при наличии эквивалентного настольного устройства (на базе Ryzen).
Расписание первого дня и результаты каждого испытания - здесь. Будем следить, удастся ли участникам превзойти предыдущий Pwn2Own Automotive 2024 по части выигрыша, тогда хакеры сорвали куш в размере 1 323 750 долларов.
Традиционно, после того демонстрации нулей в ходе Pwn2Own у поставщиков будет 90 дней на разработку исправлений, прежде чем TrendMicro Zero Day Initiative публично их раскроет.