Trend Micro firmasına bağlı Zero Day Initiative ekibinin Tokyo’da düzenlediği ve 3 gün sürecek olan siber güvenlik zirvesi Pwn2Own Automotive başladı. Etkinliğin ilk gününde Synacktiv Ekibi (@Synacktiv), bir Tesla Modem üzerinde kök izinleri almak için üç sıfırıncı gün hatasını başarıyla zincirledikten sonra 100.000 dolar ödülü eve götürdü. Ayrıca, bir Ubiquiti Connect EV İstasyonu ve bir JuiceBox 40 Akıllı EV Şarj İstasyonunu hacklemek için iki benzersiz bug kullananan ekip ek 120.000 dolar daha kazandı.
ChargePoint Home Flex EV şarj cihazını hedef alan üçüncü bir istismar zinciri zaten biliniyordu, ancak yine de başarılı bir biçimde istismar edilebildiği gösterilen bu açık Synacktiv Ekibi’ne 16.000 dolar daha nakit para kazandırdı ve ekip yarışmanın ilk gününde toplam 295.000 dolar ödül kazanmış oldu.
Güvenlik araştırmacıları ayrıca tamamen yamalanmış birden fazla elektrikli araç şarj istasyonunu ve bilgi-eğlence sistemini başarıyla hackledi ve NCC Group EDG ekibi, Pioneer DMH-WT7600NEX bilgi-eğlence sistemini ve Phoenix Contact CHARX SEC-3100 elektrikli araç şarj cihazını hacklemek için kullandıkları sıfır gün hatalarıyla 70.000 dolar kazanarak liderlik tablosunda ikinci sırayı aldı.
Sıfır gün hataları Pwn2Own yarışması sırasında istismar edilip raporlandıktan sonra TrendMicro’nun Sıfır Gün Girişimi bunları kamuya açıklamadan önce ilgili firmaların güvenlik düzeltmeleri geliştirip yayınlamak için 90 günleri var.
Otomotiv teknolojilerine odaklanan Pwn2Own Automotive 2024 hack yarışması bu hafta Japonya’nın başkenti Tokyo’da, 24 Ocak – 26 Ocak tarihleri arasında düzenlenen Automotive World otomobil konferansı sırasında gerçekleştiriliyor. Yarışma boyunca güvenlik araştırmacıları Tesla araç içi bilgi-eğlence (IVI) sistemlerini, elektrikli araç (EV) şarj cihazlarını ve araç işletim sistemlerini (yani Automotive Grade Linux, BlackBerry QNX, Android Automotive OS) hedef alabilecekler.
Ayrıca güvenlik ekipleri bilgi-eğlence sistemi, modem, tuner, kablosuz ve otomatik pilot dahil olmak üzere Tesla Model 3/Y (Ryzen tabanlı) veya Tesla Model S/X (Ryzen tabanlı) sistemlerini hedef alan sıfır gün açıklarını da gösterecekler. En büyük ödül olarak VCSEC, ağ geçidi veya otopilot sıfırıncı gün açığı için 200.000 dolar nakit para ödülü ve bir Tesla araba ile verilecek.
Bu yılki otomotiv hack yarışmasının tam programına buradan ulaşabilirsiniz. İlk günün tam programına ve her bir yarışmanın sonuçlarına buradan ulaşabilirsiniz. Geçtiğimiz yıl Mart ayındaki Pwn2Own Vancouver 2023 yarışması sırasında güvenlik araştırmacıları 27 sıfırıncı gün (ve birkaç hata çarpışması) gösterdikten sonra 1.035.000 dolar ve bir Tesla Model 3 araba kazanmışlardı.
