点击上方蓝字关注我们
在 Pwn2Own Automotive 2025 的第一天,安全研究人员利用了 16 个独特的零日漏洞,并获得了 382,750 美元的现金奖励。
Fuzzware.io 利用基于堆栈的缓冲区溢出和源站验证错误漏洞入侵了 Autel MaxiCharger 和 Phoenix Contact CHARX SEC-3150 电动汽车充电器,并在竞争中处于领先地位。这为他们赢得了 50,000 美元和 10 个 Master of Pwn 积分。
Summoning Team 的 Sina Kheirkhah 在使用硬编码加密密钥漏洞和三个零日漏洞的组合(其中一个之前已知)入侵了 Ubiquiti 和 Phoenix Contact 的 CHARX SEC-3150 EV 充电器后,也获得了 91,750 美元和 9.25 个 Master of Pwn 积分。
Synacktiv 团队在排行榜上排名第三,在成功演示了 OCPP 协议中的一个错误后,通过连接器信号操纵来破解 ChargePoint Home Flex(CPH50 型号),并获得了 57,500 美元。
PHP Hooligans 的安全研究人员还使用基于堆的缓冲区溢出成功破解了完全修补的 Autel 充电器,并获得了 50,000 美元,而 Viettel 网络安全团队在使用操作系统命令注入0day获得 Kenwood 车载信息娱乐 (IVI) 上的代码执行后,获得了 20,000 美元。
在 Pwn2Own 期间利用并报告零日漏洞后,供应商有 90 天的时间来开发和发布安全补丁,然后 TrendMicro 的 Zero Day Initiative 才会公开披露它们。
Pwn2Own Automotive 2025 黑客竞赛专注于汽车技术,于 1 月 22 日至 1 月 24 日在东京汽车世界汽车大会期间举行。
在整个竞赛过程中,安全研究人员可以针对电动汽车 (EV) 充电器、车载信息娱乐 (IVI) 系统和汽车操作系统(即汽车级 Linux、Android Automotive OS 和 BlackBerry QNX)。
虽然特斯拉还提供了 Model 3/Y(基于 Ryzen)等效的台式装置,但参赛者只进行了针对该公司连接器的尝试。
在 2024 年 1 月的第一届 Pwn2Own Automotive 期间,黑客因两次入侵特斯拉并在多个电动汽车系统中展示了 49 个零日漏洞而筹集了 1,323,750 美元。
两个月后,在 2024 年 Pwn2Own 温哥华站期间,安全研究人员在利用 29 次零日漏洞(和一些漏洞碰撞)后赚取了 1,132,500 美元。Synacktiv 在 30 秒内入侵了带有车辆 (VEH) 总线控制的 ECU 后,带着 200,000 美元和一辆特斯拉 Model 3 汽车回家。
今年汽车黑客竞赛的完整赛程可在此处查看,而第一天的赛程和每项挑战的结果可在此处查看。
https://www.zerodayinitiative.com/blog/2025/1/21/pwn2own-automotive-2025-the-full-schedule
温哥华 Pwn2Own 结束,黑客通过29个0day赚取100w+美元
2024-03-27
勒索软件进化史:从简单的加密到多重勒索
2025-01-22
急需升级,D-Link 路由器漏洞被僵尸网络广泛用于 DDoS 攻击
2024-12-30
WPS 5亿用户受威胁:APT-C-60利用WPS Office漏洞发动间谍攻击
2024-09-02
喜欢此文的话,可以点赞、转发、在看 一键三连哦!
原文始发于微信公众号(星尘安全):黑客在 Pwn2Own Automotive 2025 第一天利用了 16 个0day漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论