Des chercheurs en sécurité ont piraté un modem Tesla et collecté des récompenses de 722 500 $le premier jour de Pwn2Own Automotive 2024 pour trois collisions de bogues et 24 exploits uniques du jour zéro.

L’équipe Synacktiv (@Synacktiv) a remporté 100 000 $après avoir enchaîné avec succès trois bogues zero-day pour obtenir les autorisations root sur un modem Tesla.

Ils ont également utilisé deux chaînes uniques à deux bogues pour pirater une station de recharge Ubiquiti Connect EV et une station de recharge JuiceBox 40 Smart EV, gagnant 120 000 additional supplémentaires.

Une troisième chaîne d’exploits ciblant le chargeur ChargePoint Home Flex EV était déjà connue mais leur a tout de même rapporté 16 000 cash en espèces, avec un total de 295 000 prizes en prix lors de la première journée du concours.

Les chercheurs en sécurité ont également réussi à pirater plusieurs bornes de recharge et systèmes d’infodivertissement pour véhicules électriques entièrement patchés, l’équipe EDG du Groupe NCC prenant la deuxième place du classement après avoir remporté 70 000 days pour des journées zéro exploitées pour pirater le système d’infodivertissement Pioneer DMH-WT7600NEX et le chargeur Phoenix Contact CHARX SEC-3100 EV.

Une fois les bogues zero-day exploités et signalés lors du concours Pwn2Own, les fournisseurs disposent de 90 jours pour développer et publier des correctifs de sécurité avant que l’initiative Zero Day de TrendMicro ne les divulgue publiquement.

Classement après le premier jour de Pwn2Own Automotive

Le concours de piratage Pwn2Own Automotive 2024 se concentre sur les technologies automobiles et se déroule cette semaine à Tokyo, au Japon, lors de la conférence Automotive World auto du 24 au 26 janvier.

Tout au long de la compétition, les chercheurs en sécurité pourront cibler les systèmes d’infodivertissement embarqués Tesla (IVI), les chargeurs de véhicules électriques (VE) et les systèmes d’exploitation automobiles (Linux de qualité automobile, BlackBerry QNX, Android Automotive OS).

Ils présenteront également des exploits zero-day ciblant les systèmes Tesla Model 3/Y (basés sur Ryzen) ou Tesla Model S/X (basés sur Ryzen), y compris le système d’infodivertissement, le modem, le tuner, le sans fil et le pilote automatique.

Le premier prix sera décerné pour VCSEC, gateway ou autopilot zero-days, avec un prix en espèces de 200 000 and et une voiture Tesla.

Vous pouvez trouver le programme complet du concours de piratage automobile de cette année ici. Le programme complet de la première journée et les résultats de chaque défi sont disponibles ici.

Lors du concours Pwn2Own Vancouver 2023 en mars, les chercheurs en sécurité ont gagné 1 035 000 and et une voiture Tesla Model 3 après avoir fait la démonstration de 27 zero-day (et plusieurs collisions de bogues).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *