Несколько команд элитных хакеров приняли участие в первом хакерском мероприятии Pwn2Own, посвященном исключительно автомобильному сектору. Хакеры собрались в Токио во время конференции Automotive World, где им было предложено более 1 миллиона долларов в качестве вознаграждения. Tesla — первое имя, которое приходит на ум большинству людей, когда речь заходит об электромобилях, — была дважды успешно взломана одними и теми же хакерами, командой Synacktiv, которые также победили в общем соревновании и получили 450 000 долларов.
Что такое автомобильное хакерское мероприятие Pwn2Own?
Первое в истории автомобильное мероприятие Pwn2Own было организовано Trend Micro Zero-Day Initiative — теми же людьми, которые стоят за ежегодными хакерскими мероприятиями Pwn2Own. Структура мероприятия схожа: в нем принимают участие лучшие хакерские команды со всего мира, которые соревнуются с заранее определенными техническими целями и друг с другом, используя ранее неизвестные уязвимости «нулевого дня» (такие уязвимости, против которых производителем ПО еще не разработаны защитные меры). В случае с Pwn2Own Automotive под прицелом хакеров оказались электромобили, а также связанные с ними системы и сервисы.
Токийские хакеры использовали 49 уязвимостей нулевых дней, чтобы заработать $1 323 750
Эти элитные хакеры и исследователи безопасности имеют жесткие временные рамки, в течение которых они должны успешно взломать определенную цель. Успех вознаграждается значительными денежными выплатами за успешную демонстрацию недавно обнаруженных уязвимостей «нулевого дня» и передачу технических деталей поставщику. Также начисляются очки в общую таблицу лидеров Masters of Pwn и почетное звание мастера Pwn.
В общей сложности за три дня Pwn2Own Automotive 2024 было начислено вознаграждение в размере 1 323 750 долларов за 49 уникальных уязвимостей «нулевых дней», успешно использованных в ходе мероприятия.
Tesla взломана. Дважды!
Титул Masters of Pwn (Automotive) 2024 достался команде Synacktiv, которая, помимо прочего, взломала модем Tesla, использовав цепочку из трех уязвимостей, чтобы выиграть $100 000 в первый день, и цепочку из двух уязвимостей, скомпрометировав информационно-развлекательную систему Tesla во второй день, чтобы получить еще $100 000.
Помимо прочего, были взломаны:
- Умная зарядная станция JuiceBox 40 (60 000 долларов).
- ChargePoint Home Flex ($16 000.)
- Ubiquiti Connect EV Station (60 000 долларов).
- Линукс для автомобилей (35 000 долл.)
- Информационно-развлекательная система Sony XAV-AX5500 (20 000 долл.).
Таким образом, денежные призы, выигранные командой Synacktiv, составили довольно внушительную сумму в 450 000 долларов.
Полные результаты можно найти в официальном блоге ZDI Pwn2Own Automotive.
Хакерство — не преступление
Как все эти махинации со взломом электромобилей могут быть благом? Каждая уязвимость, которую используют хакеры «нулевого дня», немедленно передается поставщику, чтобы он устранил проблему. Патчи выпускаются до того, как какая-либо техническая информация становится достоянием общественности, чтобы гарантировать, что менее этичные субъекты не смогут злонамеренно использовать уязвимости. Ни одна из уязвимостей «нулевого дня» не продается и не распространяется ZDI.
По материалам Forbes.
Для отправки комментария необходимо войти на сайт.