No primeiro dia do Pwn2Own Automotive 2025, pesquisadores de segurança exploraram 16 zero-days únicos e coletaram $382.750 em prêmios em dinheiro.
Fuzzware.io está liderando a competição após hackear os carregadores de veículo elétrico Autel MaxiCharger e Phoenix Contact CHARX SEC-3150 utilizando um stack-based buffer overflow e um bug de erro de validação de origem.
Isso rendeu a eles $50.000 e 10 pontos Master of Pwn.
Sina Kheirkhah, da equipe Summoning, também ganhou $91.750 e 9,25 pontos Master of Pwn após hackear os carregadores EV Ubiquiti e Phoenix Contact CHARX SEC-3150 usando um bug de chave criptográfica hard-coded e uma combinação de três zero-days (um deles previamente conhecido).
A equipe da Synacktiv está em terceiro lugar no ranking e levou para casa $57.500 após demonstrar com sucesso um bug no protocolo OCPP para hackear o ChargePoint Home Flex (Modelo CPH50) usando manipulação de sinal através do conector.
Pesquisadores de segurança da PHP Hooligans também hackearam com sucesso um carregador Autel totalmente atualizado usando um heap-based buffer overflow e ganharam $50.000, enquanto a equipe de Viettel Cyber Security coletou $20.000 após obter execução de código no Kenwood In-Vehicle Infotainment (IVI) usando um zero-day de injeção de comando OS.
Após os zero-days serem explorados e relatados durante o Pwn2Own, os fornecedores têm 90 dias para desenvolver e lançar patches de segurança antes que a Iniciativa Zero Day da TrendMicro os divulgue publicamente.
A competição de hacking Pwn2Own Automotive 2025, que foca em tecnologias automotivas, acontece em Tóquio de 22 a 24 de janeiro durante a conferência automobilística Automotive World.
Durante o concurso, os pesquisadores de segurança podem mirar em carregadores de veículo elétrico (EV), sistemas de infotainment veicular (IVI) e sistemas operacionais de carro (i.e., Automotive Grade Linux, Android Automotive OS e BlackBerry QNX).
Enquanto a Tesla também forneceu uma unidade equivalente de mesa do Modelo 3/Y (baseada em Ryzen), os competidores só registraram tentativas contra o conector de parede da empresa.
O cronograma completo para o concurso de hacking automotivo deste ano está disponível aqui, enquanto o cronograma do primeiro dia e os resultados de cada desafio podem ser encontrados aqui.
Durante a primeira edição do Pwn2Own Automotive em janeiro de 2024, hackers coletaram $1.323.750 por hackear a Tesla duas vezes e demonstrar 49 bugs de zero-day em vários sistemas de carros elétricos.
Dois meses depois, durante o Pwn2Own Vancouver 2024, pesquisadores de segurança ganharam $1.132.500 após explorar 29 zero-days (e algumas colisões de bugs).
A Synacktiv levou para casa $200.000 e um carro Tesla Modelo 3 após hackear a ECU com Controle CAN BUS do Veículo (VEH) em menos de 30 segundos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...