Hackers exploram 16 Vulnerabilidades Zero-Day
23 de Janeiro de 2025

No primeiro dia do Pwn2Own Automotive 2025, pesquisadores de segurança exploraram 16 zero-days únicos e coletaram $382.750 em prêmios em dinheiro.

Fuzzware.io está liderando a competição após hackear os carregadores de veículo elétrico Autel MaxiCharger e Phoenix Contact CHARX SEC-3150 utilizando um stack-based buffer overflow e um bug de erro de validação de origem.

Isso rendeu a eles $50.000 e 10 pontos Master of Pwn.

Sina Kheirkhah, da equipe Summoning, também ganhou $91.750 e 9,25 pontos Master of Pwn após hackear os carregadores EV Ubiquiti e Phoenix Contact CHARX SEC-3150 usando um bug de chave criptográfica hard-coded e uma combinação de três zero-days (um deles previamente conhecido).

A equipe da Synacktiv está em terceiro lugar no ranking e levou para casa $57.500 após demonstrar com sucesso um bug no protocolo OCPP para hackear o ChargePoint Home Flex (Modelo CPH50) usando manipulação de sinal através do conector.

Pesquisadores de segurança da PHP Hooligans também hackearam com sucesso um carregador Autel totalmente atualizado usando um heap-based buffer overflow e ganharam $50.000, enquanto a equipe de Viettel Cyber Security coletou $20.000 após obter execução de código no Kenwood In-Vehicle Infotainment (IVI) usando um zero-day de injeção de comando OS.

Após os zero-days serem explorados e relatados durante o Pwn2Own, os fornecedores têm 90 dias para desenvolver e lançar patches de segurança antes que a Iniciativa Zero Day da TrendMicro os divulgue publicamente.

A competição de hacking Pwn2Own Automotive 2025, que foca em tecnologias automotivas, acontece em Tóquio de 22 a 24 de janeiro durante a conferência automobilística Automotive World.

Durante o concurso, os pesquisadores de segurança podem mirar em carregadores de veículo elétrico (EV), sistemas de infotainment veicular (IVI) e sistemas operacionais de carro (i.e., Automotive Grade Linux, Android Automotive OS e BlackBerry QNX).

Enquanto a Tesla também forneceu uma unidade equivalente de mesa do Modelo 3/Y (baseada em Ryzen), os competidores só registraram tentativas contra o conector de parede da empresa.

O cronograma completo para o concurso de hacking automotivo deste ano está disponível aqui, enquanto o cronograma do primeiro dia e os resultados de cada desafio podem ser encontrados aqui.

Durante a primeira edição do Pwn2Own Automotive em janeiro de 2024, hackers coletaram $1.323.750 por hackear a Tesla duas vezes e demonstrar 49 bugs de zero-day em vários sistemas de carros elétricos.

Dois meses depois, durante o Pwn2Own Vancouver 2024, pesquisadores de segurança ganharam $1.132.500 após explorar 29 zero-days (e algumas colisões de bugs).

A Synacktiv levou para casa $200.000 e um carro Tesla Modelo 3 após hackear a ECU com Controle CAN BUS do Veículo (VEH) em menos de 30 segundos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...