Pesquisadores de segurança hackearam um Modem Tesla e coletaram prêmios de $722,500 no primeiro dia do Pwn2Own Automotive 2024 por três colisões de bugs e 24 exploits zero-day únicos.
A equipe Synacktiv (@Synacktiv) levou para casa $100,000 após ter sucesso em encadear três bugs zero-day para obter permissões root em um Modem Tesla.
Eles também usaram duas cadeias únicas de dois bugs para hackear uma Estação EV Connect Ubiquiti e um JuiceBox 40 Smart EV Charging Station, ganhando um adicional de $120,000.
Uma terceira cadeia de exploração visando o carregador ChargePoint Home Flex EV já era conhecida, mas ainda assim lhes rendeu $16,000 em dinheiro, com um total de $295,000 em prêmios durante o primeiro dia do concurso.
Pesquisadores de segurança também hackearam com sucesso várias estações de carregamento EV totalmente corrigidas e sistemas de infotainment, com a equipe EDG do Grupo NCC ficando em segundo lugar no ranking após ganhar $70,000 por zero-days explorados para hackear o sistema infotainment Pioneer DMH-WT7600NEX e o carregador EV Phoenix Contact CHARX SEC-3100.
Após os bugs zero-day serem explorados e relatados durante a competição Pwn2Own, os fornecedores têm 90 dias para desenvolver e lançar correções de segurança antes que a Iniciativa Zero Day da TrendMicro os revele publicamente.
O concurso de hacking Pwn2Own Automotive 2024 se concentra em tecnologias automotivas e acontece esta semana em Tóquio, Japão, durante a conferência automotiva Automotive World entre 24 e 26 de janeiro.
Ao longo da competição, os pesquisadores de segurança poderão visar os sistemas de infotainment veicular (IVI) da Tesla, carregadores de veículos elétricos (EV) e sistemas operacionais de carros (ou seja, Automotive Grade Linux, BlackBerry QNX, Android Automotive OS).
Eles também vão demonstrar exploits zero-day visando os sistemas Tesla Model 3/Y (baseados em Ryzen) ou Tesla Model S/X (baseados em Ryzen), incluindo o sistema de infotainment, modem, sintonizador, wireless e piloto automático.
O maior prêmio será concedido para VCSEC, gateway ou zero-days de piloto automático, com uma recompensa em dinheiro de $200,000 e um carro Tesla.
Você pode encontrar a programação completa do concurso de hacking automotivo deste ano aqui.
A programação completa para o primeiro dia e os resultados para cada desafio estão disponíveis aqui.
Durante a competição Pwn2Own Vancouver 2023 em março, pesquisadores de segurança ganharam $1,035,000 e um carro Tesla Model 3 após demonstrarem 27 exploits zero-day (e várias colisões de bugs).
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...