Pwn2Own Automotivo: $1,3M por 49 zero-days, Tesla hackeada duas vezes
29 de Janeiro de 2024

A primeira edição do Pwn2Own Automotive terminou com os competidores ganhando $1,323,750 por hackear a Tesla duas vezes e demonstrando 49 falhas zero-day em vários sistemas de carros elétricos entre 24 e 26 de janeiro.

Durante o concurso organizado pela Iniciativa Zero Day da Trend Micro (ZDI) em Tóquio, Japão, durante a conferência automotiva Automotive World, os hackers visaram carregadores de veículos elétricos (EV) totalmente corrigidos, sistemas de infoentretenimento e sistemas operacionais de carros.

Após uma vulnerabilidade de zero-day ser explorada e relatada aos fornecedores durante o Pwn2Own, eles têm 90 dias para lançar patches de segurança antes que a Iniciativa Zero Day da Trend Micro a divulgue publicamente.

O concurso Pwn2Own Automotive 2024 foi vencido pela Team Synacktiv, que levou para casa $450,000 em dinheiro, seguido por fuzzware.io com $177,500 e Midnight Blue/PHP Hooligans com $80,000.

A Synacktiv hackeou o carro Tesla duas vezes, obtendo permissões de root em um Modem Tesla ao encadear três vulnerabilidades no primeiro dia e demonstrando uma fuga de sandbox do Sistema de Infoentretenimento Tesla através de uma cadeia de exploração com dois zero-day no segundo dia.

Eles também demonstraram duas cadeias únicas de dois bugs contra a Ubiquiti Connect EV Station e a JuiceBox 40 Smart EV Charging Station, bem como uma exploração de três bugs visando o Sistema Operacional Automotive Grade Linux.

A Synactiv também dominou o concurso Pwn2Own Vancouver 2023 em março, ganhando $530,000 e um carro Tesla por duas cadeias de exploração visando seu Gateway e Infotainment Unconfined Root.

Em outubro, no Pwn2Own Toronto 2023, os hackers ganharam mais de $1 milhão por 58 explorações de zero-day e várias colisões de bugs visando produtos de consumo, incluindo o smartphone Samsung Galaxy S23, vários modelos de impressoras, sistemas de vigilância, e dispositivos de armazenamento conectados à rede (NAS).

No início deste mês, a ZDI anunciou que a competição Pwn2Own Vancouver 2024 está programada para começar em 20 de março durante a Conferência CanSecWest 2024.

O evento contará com uma premiação de mais de $1,000,000 para explorações em várias categorias de software e sistemas automotivos encontrados nos carros Tesla Model 3 e Model S.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...