49 sıfır gün için 1,3 milyon dolar, Tesla iki kez hacklendi


Pwn2Own Otomotiv 2024 Tokyo

Pwn2Own Automotive’in ilk baskısı, rakiplerin Tesla’yı iki kez hackleyerek ve 24 Ocak ile 26 Ocak arasında birden fazla elektrikli otomobil sisteminde 49 sıfır gün hatasını göstererek 1.323.750 $ kazanmasıyla sona erdi.

Trend Micro’nun Zero Day Initiative (ZDI) tarafından Tokyo, Japonya’da düzenlenen Otomotiv Dünyası otomobil konferansı sırasında düzenlenen yarışma boyunca bilgisayar korsanları, tamamen yamalanmış elektrikli araç (EV) şarj cihazlarını, bilgi-eğlence sistemlerini ve araç işletim sistemlerini hedef aldı.

Pwn2Own sırasında sıfır gün güvenlik açığından yararlanılıp satıcılara bildirildikten sonra, Trend Micro’nun Sıfır Gün Girişimi bunu kamuya açıklamadan önce güvenlik yamalarını yayınlamaları için 90 gün süreleri var.

Pwn2Own Automotive’in tüm hedef setini ve kurallarını burada bulabilirsiniz. Programın tamamı burada listelenmiştir.

Pwn2Own Otomotiv 2024 yarışmasını kazanan Ekip Synacktiv450.000 doları nakit olarak evine götüren , onu 177.500 dolarla fuzzware.io ve 80.000 dolarla Midnight Blue/PHP Hooligans izledi.

Pwn2Own liderlik tablosu
Pwn2Own liderlik tablosu (ZDI)

​Synacktiv, Tesla arabasını iki kez hackledi, ilk gün üç güvenlik açığını zincirleyerek Tesla Modem üzerinde kök izinleri aldı ve ikinci günde iki sıfır günlük istismar zinciri aracılığıyla Tesla Bilgi ve Eğlence Sistemi sanal alan kaçışını gösterdi.

Ayrıca iki benzersiz iki hata zincirini de gösterdiler. Ubiquiti Connect EV İstasyonu ve JuiceBox 40 Akıllı EV Şarj İstasyonunun yanı sıra, Otomotiv Sınıfında Linux İşletim Sistemi.

Synactiv ayrıca Mart ayında Pwn2Own Vancouver 2023 yarışmasına da galip gelerek Ağ Geçidi ve Bilgi-Eğlence Sistemi Unconfined Root’unu hedef alan iki istismar zinciri için 530.000 dolar ve bir Tesla arabası kazandı.

Ekim ayında, Pwn2Own Toronto 2023’te bilgisayar korsanları, Samsung Galaxy S23 akıllı telefon, birden fazla yazıcı modeli, gözetim sistemleri ve ağa bağlı depolama (NAS) aygıtları da dahil olmak üzere tüketici ürünlerini hedef alan 58 sıfır gün saldırısı ve birden fazla hata çarpışması için 1 milyon dolardan fazla para kazandı .

Bu ayın başlarında ZDI, Pwn2Own Vancouver 2024 yarışmasının 20 Mart’tan itibaren CanSecWest 2024 Konferansı sırasında gerçekleşmesinin planlandığını duyurdu.

Etkinlikte, Tesla Model 3 ve Model S arabalarında bulunan çeşitli yazılım kategorileri ve otomotiv sistemlerindeki açıklardan yararlanmalar için 1.000.000 doların üzerinde bir ödül havuzu yer alacak.





Source link