Des chercheurs en sécurité ont piraté le système d’infodivertissement Tesla et ont fait une démonstration de 24 jours zéro supplémentaires le deuxième jour du concours de piratage Pwn2Own Automotive 2024.
L’équipe Synacktiv (@Synacktiv) a remporté 100 000 $après avoir enchaîné deux bugs zero-day pour une évasion de bac à sable afin de pirater le système d’infodivertissement Tesla.
Ils ont également utilisé un exploit zero-day à trois chaînes pour pirater le système d’exploitation Linux de qualité automobile pour 35 000 additional supplémentaires.
Le premier jour de Pwn2Own Automotive 2024, Synacktiv a également collecté 295 000 $supplémentaires après s’être enraciné sur un modem Tesla et avoir piraté les bornes de recharge intelligentes Ubiquiti Connect EV et JuiceBox 40 EV à l’aide de trois chaînes, exploitant un total de sept jours zéro.
Tout au long de la deuxième journée, les concurrents ont présenté 24 bugs uniques et ont gagné 382 500$, totalisant 48 jours zéro et 1 101 500 $depuis le début de la compétition.
Après la fin du concours Pwn2Own, les fournisseurs disposent de 90 jours pour publier des correctifs de sécurité avant que l’initiative Zero Day de TrendMicro ne divulgue publiquement les zero-days.
Le concours de piratage Pwn2Own Automotive 2024 se déroule à Tokyo, au Japon, lors de la conférence Automotive World auto du 24 au 26 janvier, axée sur les technologies automobiles.
Au cours du concours, les pirates ciblent les chargeurs de véhicules électriques (VE), les systèmes d’infodivertissement et les systèmes d’exploitation automobiles, notamment Linux de qualité automobile, Android Automotive OS et BlackBerry QNX.
Ils attaqueront également les unités Tesla Model 3/Y (basées sur Ryzen) et Tesla Model S/X (basées sur Ryzen), y compris les systèmes d’infodivertissement embarqués (IVI) et les modems, tous deux déjà piratés au cours des deux premiers jours du tournoi.
Le premier prix qui peut être gagné est de 200 000 cash en espèces et une voiture Tesla pour les vulnérabilités VCSEC, gateway ou autopilot zero-day.
Le programme complet du concours de piratage automobile de cette année est ici, tandis que le programme complet de la deuxième journée et les résultats de chaque défi sont disponibles ici.
Les chercheurs en sécurité ont également gagné 1 035 000 and et une voiture Tesla Model 3 lors de la compétition Pwn2Own Vancouver 2023 en mars après avoir démontré un total de 27 jours zéro et plusieurs collisions de bogues.