Istraživači sigurnosti su hakovali Tesla modem i prikupili nagrade od 722.500 dolara prvog dana Pwn2Own Automotive 2024. za tri bug-a i 24 jedinstvene eksploatacije nultog dana.
Synacktiv tim (@Synacktiv) uzeo je 100.000 dolara nakon što je uspješno povezao tri greške nultog dana kako bi dobio root dozvole na Tesla modemu.
Također su koristili dva jedinstvena lanca s dvije greške da hakuju Ubiquiti Connect EV Station i JuiceBox 40 Smart EV Charging Station, zaradivši dodatnih 120.000 dolara.
Treći lanac eksploatacije koji cilja na ChargePoint Home Flex EV punjač je već bio poznat, ali im je ipak donio 16.000 dolara u gotovini, sa ukupno 295.000 dolara nagrada tokom prvog dana takmičenja.
Istraživači sigurnosti su takođe uspješno hakovali više potpuno zakrpljenih stanica za punjenje EV i infotainment sistema, pri čemu je NCC Group EDG tim zauzeo drugo mjesto na listi lidera nakon što je osvojio 70.000 dolara za nulte dane iskorištene za hakovanje Pioneer DMH-WT7600NEX infotainment sistema i Phoenix Contact CHAR SEC-3100 EV punjača.
Nakon što su greške nultog dana iskorišćene i prijavljene tokom takmičenja Pwn2Own, dobavljači imaju 90 dana da razviju i objave bezbjednosne ispravke pre nego što ih TrendMicro-ova inicijativa Zero Day javno objavi.
Hakersko takmičenje Pwn2Own Automotive 2024 fokusira se na automobilske tehnologije i održava se ove sedmice u Tokiju, Japan, tokom Automotive World auto konferencije između 24. i 26. januara.
Tokom takmičenja, istraživači bezbednosti će moći da ciljaju Tesline infotainment (IVI) sisteme u vozilu, punjače za električna vozila (EV) i operativne sisteme automobila (tj. Automotive Grade Linux, BlackBerry QNX, Android Automotive OS).
Takođe će demonstrirati eksploatacije nultog dana koje ciljaju na sisteme Tesla Model 3/Y (bazirani na Ryzenu) ili Tesla Model S/X (bazirani na Ryzenu), uključujući infotainment sistem, modem, tjuner, bežičnu vezu i autopilot.
Glavna nagrada će biti dodijeljena za VCSEC, gateway ili autopilot nulti dan, uz novčanu nagradu od 200.000 dolara i automobil Tesla.
Tokom takmičenja Pwn2Own Vancouver 2023. u martu, istraživači sigurnosti zaradili su 1.035.000 dolara i automobil Tesla Model 3 nakon što su demonstrirali 27 nultih dana (i nekoliko sudara s greškom).
Izvor: BleepingComputer