Beim Pwn2Own Automotive 2024 Wettbewerb in Tokio haben Sicherheitsforscher einen Tesla Modem gehackt und am ersten Tag Preise im Gesamtwert von 722.500 US-Dollar für drei Bug-Collisions und 24 einzigartige Zero-Day-Exploits erhalten.
Das Team von Synacktiv (@Synacktiv) gewann 100.000 US-Dollar, nachdem es erfolgreich drei Zero-Day-Bugs verknüpft hatte, um Root-Rechte auf einem Tesla Modem zu erlangen. Außerdem erhielten sie für das Hacken einer Ubiquiti Connect EV Station und einer JuiceBox 40 Smart EV Charging Station mit zwei einzigartigen Zwei-Bug-Ketten zusätzliche 120.000 US-Dollar.
Ein dritter Exploit, der auf die ChargePoint Home Flex EV-Ladestation abzielte, war bereits bekannt, brachte dem Team aber dennoch 16.000 US-Dollar ein, insgesamt 295.000 US-Dollar an Preisen am ersten Tag des Wettbewerbs.
Weitere Sicherheitsforscher hackten erfolgreich mehrere vollständig gepatchte EV-Ladestationen und Infotainment-Systeme. Das NCC Group EDG-Team belegte mit dem Gewinn von 70.000 US-Dollar für Zero-Day-Exploits, die zum Hacken des Pioneer DMH-WT7600NEX Infotainment-Systems und der Phoenix Contact CHARX SEC-3100 EV-Ladestation eingesetzt wurden, den zweiten Platz.
Nachdem die Zero-Day-Bugs während des Pwn2Own-Wettbewerbs ausgenutzt und gemeldet wurden, haben die Hersteller 90 Tage Zeit, um Sicherheitsupdates zu entwickeln und zu veröffentlichen, bevor die Zero Day Initiative von TrendMicro sie öffentlich bekannt gibt.
Der Pwn2Own Automotive 2024 Wettbewerb konzentriert sich auf Automobiltechnologien und findet diese Woche während der Automotive World Auto-Konferenz in Tokio, Japan, vom 24. bis 26. Januar statt. Im Rahmen des Wettbewerbs werden Sicherheitsforscher Teslas Infotainment-Systeme (IVI), Elektrofahrzeug-Ladestationen und Betriebssysteme für Autos (wie Automotive Grade Linux, BlackBerry QNX, Android Automotive OS) ins Visier nehmen.
Sie werden außerdem Zero-Day-Exploits demonstrieren, die auf Tesla Model 3/Y (Ryzen-basiert) oder Tesla Model S/X (Ryzen-basiert) Systeme abzielen, einschließlich des Infotainment-Systems, Modems, Tuners, drahtlosen Netzwerks und Autopiloten.
Der Hauptpreis wird für VCSEC, Gateway oder Autopilot Zero-Days vergeben, mit einer Bargeldprämie von 200.000 US-Dollar und einem Tesla-Fahrzeug.
Den vollständigen Zeitplan des diesjährigen Automotive-Hacking-Wettbewerbs finden Sie hier. Der vollständige Zeitplan für den ersten Tag und die Ergebnisse jeder Herausforderung sind hier verfügbar.
Beim Pwn2Own Vancouver 2023 Wettbewerb im März verdienten Sicherheitsforscher 1.035.000 US-Dollar und ein Tesla Model 3 Auto, nachdem sie 27 Zero-Day-Exploits (und mehrere Bug-Collisions) demonstriert hatten.