Pwn2Own Automotive 2024, 24-26 Ocak tarihleri arasında Japonya’nın Tokyo kentinde gerçekleşecek.
24 Ocak – 26 Ocak tarihleri arasında Japonya’nın Tokyo kentinde düzenlenen Pwn2Own Automotive 2024 hackleme yarışması, otomotiv teknolojilerindeki boşluklara odaklanıyor. Tesla, yarışmanın sponsoru, VicOne ve Trend Micro’nun Zero Day Initiative’inin ortak sunucusudur.
Bu bağlamda bilgi-eğlence, modem, ayarlayıcı, kablosuz ve otopilot sistemleri de dahil olmak üzere Model 3/Y veya Model S/X sistemlerini hedef alan sıfır gün saldırılarını gösterecekler. Sıfır günlük istismarlar için en büyük ödül 200.000 dolar ve bir Tesla arabası olacak.
İlk gününde Tesla’nın modemindeki, Sony’nin bilgi-eğlence sistemlerindeki ve Alpine’ın araç müzik çalarlarındaki zayıflıklar da dahil olmak üzere birçok güvenlik açığı vurgulandı ve bu durum bağlantılı araçların güvenliğine ilişkin endişeleri artırdı.
Güvenlik araştırmacıları birden fazla tamamen yama uygulanmış EV şarj istasyonunu ve bilgi-eğlence sistemini hackledi. NCC Group EDG ekibi, Pioneer DMH-WT7600NEX bilgi-eğlence sistemini ve Phoenix Contact CHARX SEC-3100 EV şarj cihazını sıfır günden yararlanarak hackleyerek 70.000 $ kazandı.
Sina Kheirkhah, ChargePoint Home Flex’e başarıyla saldırarak 60.000 $ ve altı Master of Pwn Puanı kazandı. Tobias Scharnowski ve Felix Buchmann, Sony XAV-AX5500’e 40.000 $ ve dört Master of Pwn Puanı karşılığında saldırdı. Gary Li Wang, yığın tabanlı arabellek taşması kullanarak Sony XAV-AX5500’den yararlandı.
Güvenlik araştırmacıları bir Tesla Modemini başarıyla hacklediler ve üç hata çarpışmasını ve 24 benzersiz sıfır gün istismarını tespit ederek toplamda 722.500 dolar ödül kazandılar. Synacktiv Ekibi, Tesla Modem ve JuiceBox 40 Akıllı EV Şarj İstasyonuna karşı 3 hata zincirini tamamlayarak sırasıyla 100.000 $ ve 60.000 $ ile 10 ve 6 Master of Pwn Puanı kazandı.
Bu, ekibin bir Tesla Modeminde kök izinleri kazanmak için üç sıfır gün hatasını zincirlediği anlamına geliyor. Synacktiv Ekibi ayrıca Ubiquiti Connect EV İstasyonuna başarıyla saldırarak altı Master of Pwn Puanı ve 60.000 $ kazandı.
Üçüncü bir istismar zinciri, güvenlik araştırmacılarına 16.000 dolar nakit ve 295.000 dolar ödül kazandıran ChargePoint Home Flex EV şarj cihazını hedef aldı.
PCAutomotive Ekibi, UAF açıklarından yararlanarak Alpine Halo9 iLX-F509’u başarıyla hedef alarak 40.000 $ ve 4 Master of Pwn Puanı kazandı. Alpine’ın araba müzik çalarında rastgele kod yürütülmesine izin veren bir güvenlik açığı keşfettiler. Bu, potansiyel olarak saldırganlara ses sistemi üzerinde kontrol sağlayarak yüksek sesler çıkarmalarına veya bağlı diğer sistemlere kötü amaçlı kodlar yerleştirmelerine olanak tanıyabilir.
RET2 Systems ayrıca Phoenix Contact CHARX SEC-3100’e karşı 2 hata zincirinden yararlanarak 6 Master of Pwn Puanı ve 60.000 $ kazandı. PHP Hooligans / Midnight Blue ekibi, Sony XAV-AX5500’ü başarıyla hedefleyerek 20.000 $ kazandı.
Pwn2Own Automotive’in 1. gün sonuçlarına ilişkin ek bilgiler için Zero Day Initiative’in bloguna göz atın.
Pwn2Own istismarları, teknolojinin araçlara artan entegrasyonu nedeniyle arabaların siber saldırılara karşı artan savunmasızlığını vurguluyor. Araştırmacılar, üreticilerin güvenlik açıklarını düzeltmelerine yardımcı olmak için bulgularını açıklarken, araç sahiplerinin de dikkatli olmaları gerekiyor.
İLGİLİ MAKALELER
- En İyi Kripto Bug Ödül Programlarından 6’sı
- Hata ödülü: Kendi Model 3’ünüzü kazanmak için Tesla Model 3’ü hackleyin
- Pwn2Own 2023: Tesla Model 3, Windows 11, Ubuntu Pwned