Pwn2Own Automotive 2025’in ilk gününde güvenlik araştırmacıları 16 benzersiz sıfır günü değerlendirdi ve 382.750 $ nakit ödül topladı.
Fuzzware.io, yığın tabanlı arabellek taşması ve kaynak doğrulama hatası hatası kullanarak Autel MaxiCharger ve Phoenix Contact CHARX SEC-3150 seçmeli araç şarj cihazlarını hackledikten sonra rekabete liderlik ediyor. Bu onlara 50.000$ ve 10 Master of Pwn puanı kazandırdı.
Summoning Team’den Sina Kheirkhah ayrıca Ubiquiti ve Phoenix Contact CHARX SEC-3150 EV şarj cihazlarını sabit kodlu bir kriptografik anahtar hatası ve üç sıfır günden oluşan bir kombinasyon (bunlardan biri daha önce biliniyordu) kullanarak hackledikten sonra 91.750 $ ve 9.25 Master of Pwn puanı kazandı. .
Synacktiv Ekibi liderlik tablosunda üçüncü sırada yer aldı ve OCPP protokolündeki bir hatayı başarıyla göstererek ChargePoint Home Flex’i (Model CPH50) konnektör üzerinden sinyal manipülasyonu kullanarak hacklemesinin ardından 57.500 $ kazandı.
PHP Hooligans’ın güvenlik araştırmacıları ayrıca yığın tabanlı bir arabellek taşması kullanarak tamamen yamalı bir Autel şarj cihazını başarıyla hacklediler ve 50.000 $ kazandılar; Viettel Siber Güvenlik ekibi ise bir işletim sistemi komutu kullanarak Kenwood Araç İçi Bilgi ve Eğlence Sisteminde (IVI) kod yürütmeyi elde ettikten sonra 20.000 $ topladı enjeksiyon sıfır günü.
Pwn2Own sırasında sıfır gün güvenlik açıklarından yararlanılıp raporlandıktan sonra, TrendMicro’nun Sıfır Gün Girişimi bunları kamuya açıklamadan önce satıcıların güvenlik yamalarını geliştirip yayınlamaları için 90 günleri var.
Otomotiv teknolojilerine odaklanan Pwn2Own Automotive 2025 hackleme yarışması, 22 Ocak – 24 Ocak tarihleri arasında Tokyo’da Automotive World otomobil konferansı sırasında gerçekleşecek.
Yarışma boyunca, güvenlik araştırmacıları elektrikli araç (EV) şarj cihazlarını, araç içi bilgi-eğlence (IVI) sistemlerini ve araç işletim sistemlerini (örneğin, Automotive Grade Linux, Android Automotive OS ve BlackBerry QNX) hedefleyebilir.
Tesla aynı zamanda Model 3/Y (Ryzen tabanlı) eşdeğeri bir tezgah üstü ünite de sağlamış olsa da, yarışmacıların yalnızca şirketin duvar konektörüne karşı girişimleri olduğu kaydedildi.
Bu yılki otomotiv hackleme yarışmasının tam programını burada bulabilirsiniz; ilk günün programını ve her mücadelenin sonuçlarını ise burada bulabilirsiniz.
Pwn2Own Automotive’in Ocak 2024’teki ilk baskısında bilgisayar korsanları, Tesla’yı iki kez hacklemek ve birden fazla elektrikli otomobil sisteminde 49 sıfır gün hatası tespit etmek için 1.323.750 dolar topladı.
İki ay sonra, Pwn2Own Vancouver 2024 sırasında güvenlik araştırmacıları 29 sıfır günü (ve bazı hata çarpışmalarını) istismar ettikten sonra 1.132.500 $ kazandılar. Synacktiv, Araç (VEH) CAN BUS Kontrolü ile ECU’yu 30 saniyeden kısa bir sürede hackledikten sonra 200.000 dolar ve bir Tesla Model 3 araba ile eve döndü.