Le concours de piratage Pwn2Own Automotive 2025 s’est terminé avec la collecte de 886 250 researchers par des chercheurs en sécurité après avoir exploité 49 jours zéro.
Tout au long de l’événement, ils ont ciblé les logiciels et produits automobiles, y compris les chargeurs de véhicules électriques (VE), les systèmes d’exploitation automobiles (c’est-à-dire Android Automotive OS, Automotive Grade Linux et BlackBerry QNX) et les systèmes d’infodivertissement embarqués (IVI).
Selon les règles du concours Pwn2Own Tokyo 2025, tous les appareils ciblés utilisaient les dernières versions du système d’exploitation et disposaient de toutes les mises à jour de sécurité installées.
Alors que Tesla a également fourni une unité de paillasse équivalente au modèle 3/Y (basée sur Ryzen), les chercheurs en sécurité qui ont rejoint la compétition n’ont enregistré que des tentatives contre le chargeur de connecteur mural de l’entreprise.
Les concurrents ont récolté 382 750 awards en prix en espèces après avoir présenté 16 jours zéro uniques le premier jour et 335 500 $supplémentaires le deuxième jour après avoir exploité 23 vulnérabilités zero-day supplémentaires et piraté le chargeur de VE de Tesla à deux reprises. Le troisième jour de Pwn2Own, ils ont collecté 168 000 $supplémentaires pour 10 jours zéro supplémentaires.
Une fois les zero days présentés et signalés lors des événements Pwn2Own, les fournisseurs disposent de 90 jours pour publier les correctifs de sécurité avant que l’initiative Zero Day de TrendMicro ne les divulgue publiquement.
Sina Kheirkhah, de l’équipe Summoning, a remporté l’édition de cette année de Pwn2Own Automotive 2025 avec 30,5 points Master of Pwn et 222 250 awards en prix en espèces remportés après avoir piraté les multiples chargeurs de véhicules électriques et les systèmes d’infodivertissement embarqués (IVI).
Synacktiv a pris la deuxième place avec 147 500$, les hooligans PHP ont gagné 110 000,, fuzzware.io rentrera à la maison avec 68 750 and, et Viettel Cyber Security a collecté 53 750 $pour les exploits zero-day présentés pendant les trois jours de la compétition.
Les résultats de chaque défi du dernier jour de Pwn2Own Automotive 2025 et les résultats finaux sont disponibles ici.
Lors de la première édition de Pwn2Own Automotive en janvier 2024, les chercheurs en sécurité ont gagné 1 323 750 $pour avoir démontré 49 bogues zero-day dans plusieurs systèmes de voitures électriques et piraté une voiture Tesla à deux reprises.
Deux mois plus tard, lors du concours Pwn2Own Vancouver 2024, ZDI a attribué 1 132 500 $supplémentaires pour 29 bugs zero-day. Synacktiv est rentré chez lui avec 200 000 and et une Tesla Model 3 après avoir piraté son CALCULATEUR avec le contrôle du BUS CAN du véhicule (VEH) en moins de 30 secondes.