首日共赢取72.25万美元赏金!黑客在Pwn2Own Automotive 2024 成功入侵特斯拉
2024-1-25 17:59:45 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

Pwn2Own是趋势科技(Trend Micro)主办的世界最知名的黑客大会之一。与以往的Pwn2Own大会不同,这次于日本东京举办的首届Pwn2Own Automotive 2024黑客大赛特别专注于汽车技术,大会时间为1月24日至1月26日,与日本东京汽车技术展Automotive World同时进行。
本次大赛由特斯拉赞助,VicOne和趋势科技的Zero Day Initiative (ZDI)共同主办,旨在发现并修复与汽车相关的漏洞。大赛首日战果已出炉,参赛选手成功入侵了多个设备,如索尼XAV-AX5500、特斯拉调制解调器和JuiceBox 40智能电动车充电站等。
这里列举了部分参赛选手在Pwn2Own Automotive 2024首日比赛上取得的战果:
第一位上场的选手Sina Kheirkhah成功攻击了ChargePoint Home Flex,获得6个Pwn大师积分和6万美元的奖励。
fuzzware.io的Tobias Scharnowski和Felix Buchmann在索尼XAV-AX5500上实施了攻击,获得4个大师积分和4万美元。PHP Hooligans / Midnight Blue团队对索尼XAV-AX5500进行了堆栈溢出攻击,获得4个大师积分和2万美元。Gary Li Wang利用堆栈溢出漏洞同样攻击了索尼XAV-AX5500,获得4个大师积分和2万美元。
PCAutomotive团队成功利用UAF漏洞攻击了Alpine Halo9 iLX-F509,获得4个大师积分和4万美元。Vudq16和Q5CA利用堆栈溢出漏洞同样是成功攻击了Alpine Halo9 iLX-F509,获得4个大师积分和2万美元。
NCC Group EDG团队对Pioneer DMH-WT7600NEX进行了漏洞链攻击(3-bug chain),获得4个大师积分和4万美元。他们还利用输入验证不当漏洞攻击了Phoenix Contact CHARX SEC-3100,获得6个大师积分和3万美元。
Synacktiv团队通过漏洞链攻击特斯拉调制解调器,赢得了10个大师积分和10万美元的奖励。此外,他们还对JuiceBox 40智能电动汽车充电站进行漏洞链攻击,获得6个大师积分和6万美元;对Ubiquiti Connect EV Station进行漏洞链攻击,获得6个大师积分和6万美元……
截至目前,Synacktiv的战果使他们在奖金和积分上都取得了领先地位——共29.5万美元的奖金和31个Pwn大师积分,遥遥领先于第二位NCC Group EDG的7万美元和10分。
据了解,在Pwn2Own比赛期间利用的零日漏洞被报告后,供应商有90天的时间来开发并发布相应的安全修复程序,之后趋势科技的ZDI将公开披露这些漏洞。

编辑:左右里

资讯来源:Microsoft、fortune

转载请注明出处和本文链接

每日涨知识

高级持久威胁(APT)

一种网络攻击,使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通常由具有丰富专业知识和大量资源的对手进行-通常与民族国家参与者相关。这些攻击往往来自多个入口点,并且可能使用多个攻击媒介(例如,网络攻击,物理攻击,欺骗攻击)。一旦系统遭到破坏,结束攻击可能非常困难。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458537337&idx=1&sn=e4b1ecbd3b76ac79ad5e7996156c42fe&chksm=b18d7df386faf4e53386f2ee1ad6f1af6905f37e11647dcf8eef935ade263a97fde90058f61e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh