La première édition de Pwn2Own Automotive s’est terminée avec des concurrents gagnant 1 323 750 $pour avoir piraté Tesla à deux reprises et démontré 49 bugs zero-day dans plusieurs systèmes de voitures électriques entre le 24 et le 26 janvier.
Tout au long du concours organisé par Zero Day Initiative (ZDI) de Trend Micro à Tokyo, au Japon, lors de la conférence Automotive World auto, les pirates informatiques ont ciblé des chargeurs de véhicules électriques (VE) entièrement patchés, des systèmes d’infodivertissement et des systèmes d’exploitation de voiture.
Une fois qu’une vulnérabilité Zero-day est exploitée et signalée aux fournisseurs lors de Pwn2Own, ils disposent de 90 jours pour publier des correctifs de sécurité avant que l’initiative Zero Day de Trend Micro ne la divulgue publiquement.
Vous pouvez trouver l’ensemble complet des objectifs et les règles de Pwn2Own Automotive ici. L’horaire complet est listé ici.
Le concours Pwn2Own Automotive 2024 a été remporté par Team Synacktiv, qui a remporté 450 000 cash en espèces, suivi de fuzzware.io avec 177 500 Midnight et des Hooligans Bleu Nuit/PHP avec 80 000$.
Synacktiv a piraté la voiture Tesla à deux reprises, obtenant des autorisations root sur un modem Tesla en enchaînant trois vulnérabilités le premier jour et en faisant une démonstration d’une évasion du bac à sable du système d’infodivertissement Tesla via une chaîne d’exploitation de deux jours zéro le deuxième jour.
Ils ont également présenté deux chaînes uniques à deux bogues contre la station de recharge Ubiquiti Connect EV et la station de recharge JuiceBox 40 Smart EV, ainsi qu’un exploit à trois bogues ciblant le système d’exploitation Linux de qualité automobile.
Synactiv a également dominé le concours Pwn2Own Vancouver 2023 en mars, remportant 530 000 and et une voiture Tesla pour deux chaînes d’exploits ciblant sa Passerelle et sa racine non confinée d’infodivertissement.
En octobre, à Pwn2Own Toronto 2023, les pirates informatiques ont gagné plus de 1 million de dollars pour 58 exploits zero-day et de multiples collisions de bogues ciblant des produits de consommation, y compris le smartphone Samsung Galaxy S23, plusieurs modèles d’imprimantes, des systèmes de surveillance et des périphériques de stockage en réseau (NAS).
Plus tôt ce mois-ci, ZDI a annoncé que la compétition Pwn2Own Vancouver 2024 devrait avoir lieu à partir du 20 mars lors de la conférence CanSecWest 2024.
L’événement mettra en vedette un prize pool de plus de 1 000 000 $pour des exploits dans diverses catégories de logiciels et systèmes automobiles trouvés dans les voitures Tesla Model 3 et Model S.