Bleeping Computer 網(wǎng)站消息，Pwn2Own Automotive 2024 大賽第一天，安全研究人員通過三個漏洞碰撞和 24 個零日漏洞利用共獲得了 72.25 萬美元的獎金。

Pwn2Own Automotive 2024 黑客大賽以汽車技術(shù)為賽事主題，在日本東京舉行，比賽時間為 1 月 24 日至 1 月 26 日的世界汽車大會期間。

大會第一天，Synacktiv 團隊成功利用三個零日漏洞獲得了特斯拉調(diào)制解調(diào)器的 root 權(quán)限，此舉助力其獲得了 10 萬美元獎金。

不僅如此，該團隊還利用兩個獨特的雙漏洞鏈成功入侵了 Ubiquiti Connect 電動車充電站和 JuiceBox 40 智能電動車充電站，額外獲得 12 萬美元的獎金。加上輕松“進入” ChargePoint Home Flex 電動汽車充電器獲得的 1.6 萬美元獎金。當(dāng)天，Synacktiv 團隊總獎金為 29.5 萬美元，排在所有參賽隊伍第一名。

NCC Group EDG 團隊利用零日漏洞入侵了 Pioneer DMH-WT7600NEX 信息娛樂系統(tǒng)和 Phoenix Contact CHARX SEC-3100 電動汽車充電器，贏得了 7 萬美元獎金，獲得排行榜第二名。

Pwn2Own Automotive 第一天比賽后的排行榜

值得一提的是，零日漏洞在 Pwn2Own 比賽中被利用和報告后，供應(yīng)商有 90 天的時間開發(fā)和發(fā)布安全修復(fù)程序，此后 TrendMicro 的零日計劃便會公開披露修復(fù)程序。

整個 Pwn2Own Automotive 2024 比賽期間，網(wǎng)絡(luò)安全研究人員可以針對特斯拉車載信息娛樂（IVI）系統(tǒng)、電動汽車（EV）充電器和汽車操作系統(tǒng)（即汽車級 Linux、黑莓 QNX、安卓汽車操作系統(tǒng)）進行模擬攻擊。

據(jù)悉，安全研究人員還將演示針對特斯拉 Model 3/Y（基于 Ryzen）或特斯拉 Model S/X（基于 Ryzen）系統(tǒng)（包括信息娛樂系統(tǒng)、調(diào)制解調(diào)器、調(diào)諧器、無線和自動駕駛）的零日漏洞利用，最高獎金將授予VCSEC、網(wǎng)關(guān)或自動駕駛零日漏洞的發(fā)現(xiàn)者，獎勵20 萬美元以及一輛特斯拉汽車。

在此前舉辦舉行的 Pwn2Own Vancouver 2023 比賽中，安全研究人員共“演示"了 27 個零日漏洞（和幾個漏洞碰撞）后，總共獲得了 1035000 美元和一輛特斯拉 Model 3 汽車。

關(guān)于 Pwn2Own  大賽

Pwn2Own 由美國五角大樓網(wǎng)絡(luò)安全服務(wù)商、惠普旗下 TippingPoint 的項目組 ZDI（Zero Day Initiative）主辦，谷歌、微軟、蘋果、Adobe等互聯(lián)網(wǎng)和軟件巨頭都對比賽提供支持，是全世界最著名、獎金最豐厚的黑客大賽。

自 2007 年舉辦至今，Pwn2Own 黑客大賽每年三月會在加拿大溫哥華舉辦的 CanSecWest 安全峰會上舉行，參賽人員如果能夠攻破 IE、Chrome、Safari、Firefox、Adobe Flash 和 Adobe Reader 等廣泛應(yīng)用的產(chǎn)品，就會獲得 ZDI 提供的現(xiàn)金和非現(xiàn)金獎勵，之后 ZDI 也會將產(chǎn)品漏洞反饋給相關(guān)廠商，幫助廠商進行修復(fù)。

對網(wǎng)絡(luò)安全研究人員來說，如果能在 Pwn2Own 上獲獎，意味著其網(wǎng)絡(luò)安全研究水平達到了世界領(lǐng)先的水平，Pwn2Own上各參賽團隊的表現(xiàn)也代表其國家網(wǎng)絡(luò)攻防技術(shù)的實力。

參考文章

• https://www.bleepingcomputer.com/news/security/tesla-hacked-24-zero-days-demoed-at-pwn2own-automotive-2024/
• https://baike.baidu.com/item/pwn2own/4242990?fr=ge_ala