A primeira edição do Pwn2Own Automotive terminou com os competidores ganhando $1,323,750 por hackear a Tesla duas vezes e demonstrando 49 falhas zero-day em vários sistemas de carros elétricos entre 24 e 26 de janeiro.
Durante o concurso organizado pela Iniciativa Zero Day da Trend Micro (ZDI) em Tóquio, Japão, durante a conferência automotiva Automotive World, os hackers visaram carregadores de veículos elétricos (EV) totalmente corrigidos, sistemas de infoentretenimento e sistemas operacionais de carros.
Após uma vulnerabilidade de zero-day ser explorada e relatada aos fornecedores durante o Pwn2Own, eles têm 90 dias para lançar patches de segurança antes que a Iniciativa Zero Day da Trend Micro a divulgue publicamente.
O concurso Pwn2Own Automotive 2024 foi vencido pela Team Synacktiv, que levou para casa $450,000 em dinheiro, seguido por fuzzware.io com $177,500 e Midnight Blue/PHP Hooligans com $80,000.
A Synacktiv hackeou o carro Tesla duas vezes, obtendo permissões de root em um Modem Tesla ao encadear três vulnerabilidades no primeiro dia e demonstrando uma fuga de sandbox do Sistema de Infoentretenimento Tesla através de uma cadeia de exploração com dois zero-day no segundo dia.
Eles também demonstraram duas cadeias únicas de dois bugs contra a Ubiquiti Connect EV Station e a JuiceBox 40 Smart EV Charging Station, bem como uma exploração de três bugs visando o Sistema Operacional Automotive Grade Linux.
A Synactiv também dominou o concurso Pwn2Own Vancouver 2023 em março, ganhando $530,000 e um carro Tesla por duas cadeias de exploração visando seu Gateway e Infotainment Unconfined Root.
Em outubro, no Pwn2Own Toronto 2023, os hackers ganharam mais de $1 milhão por 58 explorações de zero-day e várias colisões de bugs visando produtos de consumo, incluindo o smartphone Samsung Galaxy S23, vários modelos de impressoras, sistemas de vigilância, e dispositivos de armazenamento conectados à rede (NAS).
No início deste mês, a ZDI anunciou que a competição Pwn2Own Vancouver 2024 está programada para começar em 20 de março durante a Conferência CanSecWest 2024.
O evento contará com uma premiação de mais de $1,000,000 para explorações em várias categorias de software e sistemas automotivos encontrados nos carros Tesla Model 3 e Model S.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...