Дослідники безпеки зламали модем Tesla й отримали нагороди у розмірі $722 500 у перший день Pwn2Own Automotive 2024 за три зіткнення з помилками й 24 унікальні експлойти нульового дня. Про це повідомляє BleepingComputer.
Команда Synacktiv (@Synacktiv) отримала $100 000 після того, як успішно об’єднала три помилки нульового дня, щоб отримати права root на модем Tesla.
Вони також використали два унікальних ланцюжки із двома помилками, щоб зламати Ubiquiti Connect EV Station і JuiceBox 40 Smart EV Charging Station, заробивши додаткові $120 000.
Третій ланцюжок експлойтів, націлений на зарядний пристрій ChargePoint Home Flex EV, уже був відомий, але все одно приніс їм $16 000 готівкою із загальною сумою призів у $295 000 протягом першого дня конкурсу.
Дослідники безпеки також успішно зламали кілька повністю виправлених зарядних станцій для електромобілів та інформаційно-розважальних систем, а команда NCC Group EDG посіла друге місце в таблиці лідерів після виграшу $70 000 за нульові дні, використані для зламу інформаційно-розважальної системи Pioneer DMH-WT7600NEX і зарядного пристрою Phoenix Contact CHARX SEC-3100 EV.
Після того, як помилки нульового дня були використані й оприлюднені під час змагання Pwn2Own, постачальники мають 90 днів, щоб розробити та випустити виправлення безпеки, перш ніж Zero Day Initiative TrendMicro оприлюднить їх публічно.
Конкурс хакерів Pwn2Own Automotive 2024 присвячений автомобільним технологіям і проходить у Токіо (Японія) під час автомобільної конференції Automotive World із 24 до 26 січня.
Під час конкурсу дослідники безпеки можуть націлитися на бортові інформаційно-розважальні системи Tesla (IVI), зарядні пристрої для електромобілів (EV) та автомобільні операційні системи (наприклад, Automotive Grade Linux, BlackBerry QNX, Android Automotive OS).
Вони також продемонструють експлойти нульового дня, націлені на системи Tesla Model 3/Y (на базі Ryzen) або Tesla Model S/X (на базі Ryzen), включно з інформаційно-розважальною системою, модемом, тюнером, бездротовим зв’язком та автопілотом.
Головний приз буде вручено за VCSEC, шлюз або автопілот нульових днів із грошовою винагородою у розмірі $200 000 та автомобілем Tesla.
Ви можете знайти повний розклад цьогорічного конкурсу автомобільних хакерів тут. Повний розклад і результати кожного завдання доступні тут.
Під час конкурсу Pwn2Own Vancouver 2023 у березні минулого року дослідники безпеки заробили $1 035 000 та автомобіль Tesla Model 3 після демонстрації 27 нульових днів і кількох зіткнень із помилками.
Раніше ProIT повідомляв, що Ілон Маск представив і доставив клієнтам перші електропікапи Tesla Cybertruck.
Також ми писали, що Tesla заборонила власникам Cybertruck продавати авто у перший рік після покупки.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
