Pwn2Own Automotive 2024 大赛上，研究人员又一次侵入了特斯拉

Bleeping Computer 网站消息，大赛Pwn2Own Automotive 2024 大赛第一天，上研斯拉安全研究人员通过三个漏洞碰撞和 24 个零日漏洞利用共获得了 72.25 万美元的究人奖金
。

Pwn2Own Automotive 2024 黑客大赛以汽车技术为赛事主题 ，员又在日本东京举行，次侵比赛时间为 1 月 24 日至 1 月 26 日的入特世界汽车大会期间 。

大会第一天，大赛Synacktiv 团队成功利用三个零日漏洞获得了特斯拉调制解调器的上研斯拉 root 权限 ，此举助力其获得了 10 万美元奖金
。究人

不仅如此，员又该团队还利用两个独特的次侵双漏洞链成功入侵了 Ubiquiti Connect 电动车充电站和 JuiceBox 40 智能电动车充电站，亿华云额外获得 12 万美元的入特奖金。加上轻松“进入” ChargePoint Home Flex 电动汽车充电器获得的大赛 1.6 万美元奖金
 。当天  ，上研斯拉Synacktiv 团队总奖金为 29.5 万美元，究人排在所有参赛队伍第一名。

NCC Group EDG 团队利用零日漏洞入侵了 Pioneer DMH-WT7600NEX 信息娱乐系统和 Phoenix Contact CHARX SEC-3100 电动汽车充电器
，赢得了 7 万美元奖金，获得排行榜第二名。

Pwn2Own Automotive 第一天比赛后的排行榜

值得一提的是，香港云服务器零日漏洞在 Pwn2Own 比赛中被利用和报告后 ，供应商有 90 天的时间开发和发布安全修复程序，此后 TrendMicro 的零日计划便会公开披露修复程序 。

整个 Pwn2Own Automotive 2024 比赛期间，网络安全研究人员可以针对特斯拉车载信息娱乐（IVI）系统、电动汽车（EV）充电器和汽车操作系统（即汽车级 Linux、黑莓 QNX、安卓汽车操作系统）进行模拟攻击。

据悉 ，安全研究人员还将演示针对特斯拉 Model 3/Y（基于 Ryzen）或特斯拉 Model S/X（基于 Ryzen）系统（包括信息娱乐系统、调制解调器 、调谐器、源码库无线和自动驾驶）的零日漏洞利用，最高奖金将授予VCSEC 、网关或自动驾驶零日漏洞的发现者 ，奖励20 万美元以及一辆特斯拉汽车。

在此前举办举行的 Pwn2Own Vancouver 2023 比赛中，安全研究人员共“演示"了 27 个零日漏洞（和几个漏洞碰撞）后，总共获得了 1035000 美元和一辆特斯拉 Model 3 汽车。

Pwn2Own 由美国五角大楼网络安全服务商、惠普旗下 TippingPoint 的项目组 ZDI（Zero Day Initiative）主办，谷歌、云计算微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持，是全世界最著名、奖金最丰厚的黑客大赛 。

自 2007 年举办至今，Pwn2Own 黑客大赛每年三月会在加拿大温哥华举办的 CanSecWest 安全峰会上举行
，参赛人员如果能够攻破 IE、Chrome、Safari、Firefox
、源码下载Adobe Flash 和 Adobe Reader 等广泛应用的产品，就会获得 ZDI 提供的现金和非现金奖励 ，之后 ZDI 也会将产品漏洞反馈给相关厂商，帮助厂商进行修复 。

对网络安全研究人员来说，如果能在 Pwn2Own 上获奖，意味着其网络安全研究水平达到了世界领先的水平，Pwn2Own上各参赛团队的表现也代表其国家网络攻防技术的实力。

参考文章

最新评论