Την πρώτη ημέρα του Pwn2Own Automotive 2025, οι ερευνητές ασφαλείας εκμεταλλεύτηκαν 16 μοναδικές μηδενικές ημέρες και συγκέντρωσαν χρηματικά βραβεία 382.750 $.
Το Fuzzware.io ηγείται του ανταγωνισμού αφού χάκαρε τους προαιρετικούς φορτιστές οχημάτων Autel MaxiCharger και Phoenix Contact CHARX SEC-3150 χρησιμοποιώντας υπερχείλιση buffer που βασίζεται σε στοίβα και σφάλμα επικύρωσης προέλευσης. Αυτό τους κέρδισε 50.000 $ και 10 πόντους Master of Pwn.
Ο Sina Kheirkhah της Summoning Team κέρδισε επίσης 91.750 $ και 9,25 πόντους Master of Pwn μετά από χάκαρισμα των φορτιστών Ubiquiti και Phoenix Contact CHARX SEC-3150 EV χρησιμοποιώντας ένα κρυπτογραφικό σφάλμα κλειδιού με σκληρό κώδικα και έναν συνδυασμό τριών μηδενικών ημερών (ένας από αυτούς ήταν γνωστός στο παρελθόν) .
Το Synacktiv Team βρίσκεται στην τρίτη θέση του leaderboard και κέρδισε $57.500 μετά την επιτυχή επίδειξη ενός σφάλματος στο πρωτόκολλο OCPP για να χακάρει το ChargePoint Home Flex (Μοντέλο CPH50) χρησιμοποιώντας χειρισμό σήματος μέσω της υποδοχής,
Ερευνητές ασφαλείας από τους PHP Hooligans χάκαραν επίσης με επιτυχία έναν πλήρως διορθωμένο φορτιστή Autel χρησιμοποιώντας μια υπερχείλιση buffer βασισμένη σε σωρό και κέρδισαν 50.000 $, ενώ η ομάδα της Viettel Cyber Security συγκέντρωσε 20.000 $ αφού έλαβε την εκτέλεση κώδικα στην εντολή Kenwood In-Vehicle Infotainment (IVI) χρησιμοποιώντας μια εντολή ένεση μηδέν-ημέρα.
Μετά την εκμετάλλευση και αναφορά των τρωτών σημείων zero-day κατά τη διάρκεια του Pwn2Own, οι προμηθευτές έχουν στη διάθεσή τους 90 ημέρες για να αναπτύξουν και να εκδώσουν ενημερώσεις κώδικα ασφαλείας προτού το Zero Day Initiative της TrendMicro τις αποκαλύψει δημόσια.
Ο διαγωνισμός hacking Pwn2Own Automotive 2025, ο οποίος επικεντρώνεται στις τεχνολογίες αυτοκινήτων, λαμβάνει χώρα στο Τόκιο από τις 22 Ιανουαρίου έως τις 24 Ιανουαρίου κατά τη διάρκεια του Κόσμος Αυτοκινήτου αυτόματη διάσκεψη.
Καθ’ όλη τη διάρκεια του διαγωνισμού, οι ερευνητές ασφαλείας μπορούν να στοχεύσουν φορτιστές ηλεκτρικών οχημάτων (EV), συστήματα ενημέρωσης και ψυχαγωγίας εντός οχήματος (IVI) και λειτουργικά συστήματα αυτοκινήτου (π.χ. Automotive Grade Linux, Android Automotive OS και BlackBerry QNX).
Ενώ η Tesla παρείχε επίσης μια ισοδύναμη μονάδα πάγκου με Model 3/Y (βασισμένη σε Ryzen), οι διαγωνιζόμενοι έχουν καταγράψει μόνο προσπάθειες κατά του συνδετήρα τοίχου της εταιρείας.
Το πλήρες πρόγραμμα για τον φετινό διαγωνισμό hacking αυτοκινήτου είναι διαθέσιμο εδώενώ μπορείτε να βρείτε το πρόγραμμα της πρώτης ημέρας και τα αποτελέσματα για κάθε πρόκληση εδώ.
Κατά τη διάρκεια της πρώτης έκδοσης του Pwn2Own Automotive τον Ιανουάριο του 2024, οι χάκερ συγκέντρωσαν 1.323.750 $ για την εισβολή της Tesla δύο φορές και την επίδειξη 49 σφαλμάτων zero-day σε πολλαπλά συστήματα ηλεκτρικών αυτοκινήτων.
Δύο μήνες αργότερα, κατά τη διάρκεια του Pwn2Own Vancouver 2024, οι ερευνητές ασφαλείας κέρδισαν 1.132.500 $ μετά από εκμετάλλευση 29 μηδενικών ημερών (και ορισμένες συγκρούσεις σφαλμάτων). Το Synacktiv πήγε σπίτι με 200.000 $ και ένα αυτοκίνητο Tesla Model 3 αφού χάκαρε την ECU με το Vehicle (VEH) CAN BUS Control σε λιγότερο από 30 δευτερόλεπτα.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
