С 24 по 26 января в Токио прошел первый в истории конкурс Pwn2Own Automotive, посвященный взлому автомобильных систем. Участники показали свои навыки в обнаружении и эксплуатации уязвимостей в зарядных устройствах, информационно-развлекательных системах и операционных системах электромобилей.
За два дня они нашли 49 ошибок нулевого дня и заработали 1 323 750 долларов.
Конкурс был организован инициативой Trend Micro Zero Day Initiative (ZDI) в рамках автомобильной выставки Automotive World. Целью конкурса было не только наградить лучших хакеров, но и повысить уровень безопасности автомобильных систем. Поэтому все найденные уязвимости были сразу же сообщены производителям, которые получили 90 дней на их устранение, прежде чем ZDI опубликует их подробности.
Самыми успешными участниками конкурса стали представители команды Synacktiv, которые получили 450 000 долларов за взлом двух автомобилей Tesla, используя пять разных цепочек эксплойтов. Они также продемонстрировали атаки на зарядные станции Ubiquiti Connect EV и Smart EV JuiceBox 40. На втором и третьем местах оказались команды fuzzware.io и Midnight Blue/PHP Hooligans, которые заработали 177 500 и 80 000 долларов соответственно.
Это не первый раз, когда Synacktiv выигрывает конкурс Pwn2Own. В марте 2023 года они получили 530 000 долларов и автомобиль Tesla за взлом его шлюза и информационно-развлекательной системы. В октябре 2023 года на Pwn2Own в Торонто другие хакеры показали свои способности в взломе различных потребительских устройств, в том числе смартфона Samsung Galaxy S23, принтеров, систем видеонаблюдения и сетевых накопителей. За это они получили более 1 миллиона долларов.
Следующий конкурс Pwn2Own Vancouver 2024 состоится 20 марта во время конференции CanSecWest 2024. На нем участники смогут попытаться взломать автомобили Tesla Model 3 и Model S, а также другое программное обеспечение и автомобильные системы. Призовой фонд составит более 1 000 000 долларов США.