2025 Pwn2Own东京汽车大赛公布目标和奖金
2024-9-26 17:33:58 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

ZDI公布了2025年东京Pwn2Own 汽车大赛的目标和赏金。大赛将是ZDI举办的第二届汽车大赛,将于2025年1月22-24日举办。在今年年初举办的第一届汽车大赛上,ZDI共为49个唯一0day漏洞颁发1323750美元的奖金。

ZDI提到,大赛将仍然与全球车用安全厂商VicOne合作举办,特斯拉仍然是赞助商。本次大会的现金和奖金池超过100万美元。与以往一样,出场顺序仍然通过抽签决定。本届大赛的目标共分四类:特斯拉、车载信息娱乐系统 (IVI)、电动汽车充电桩,以及操作系统。

Part.01
特斯拉

“特斯拉”类别在2019年推出,在电动汽车上展现出最具创新的研究成果。在首届 Pwn2Own 汽车大赛上,Synacktiv 公司的研究团队两次利用该类别的研究获得“破解之王”的称号。候选参赛者可注册与特斯拉 Model 3/Y(基于锐龙处理器Ryzen)类似的台式单元类别,到时候可能需要在 RF 射频内运行利用,以防干扰可能通过的车辆。另外需要注意的一点是,虽然特斯拉也是奖励之一,但并非每次成功尝试都能获得汽车。一些目标会有一些扩展,参赛者需要寻找带有“包括汽车在内”的具体项目中才有可能获得汽车奖励。另外本届目标也做了一些调整,增加比赛趣味。(图表的英中版本如下,下同。)

和往常一样,参赛者可选择一些“附加”一展身手。

该类别此前出现的利用让之前的大赛大放异彩,希望本届也会再创辉煌。如参赛者有意参赛本类别,则至少在本类别开始前两周通知,以便准备好相关硬件。如想获得更多奖金,则请仔细全面阅读相关规则。毕竟奖金超过了50万美元,想得怎么周全也不为过。

Part.02
IVI系统

该类别在首届汽车大赛的其它高光时刻是见证 NCC 集团将Doom的一个可用于比赛的版本放在 Alpine 系统上。现代IVI(车载信息娱乐)不仅仅是音响设备,还是通往汽车内部系统的入口。虽然导航、车内互联网以及WiFi 都通过这些设备提供,但它们也是通过 CAN bus 与汽车的其它系统的连接,这就使得它们成为攻击者们的成熟目标。这些设备也被更新到已有汽车的现代能力,也有可能是现代漏洞。本届大赛将带来四台 IVI 设备:

Part.03
电动车充电桩

在首届汽车大赛上,它是最受欢迎的类别,每个充电桩至少都有一次被利用的情况。Sina Kheirkhah 甚至为 Rick Roll 开启了禁用    的摄像头。本届将扩充该类别,新增特斯拉 Wall Connector 以及来自 WOLFBOX和EMPORIA的机型。攻击面包括移动应用、蓝牙低功耗 (BLE) 连接以及OCPP 协议等均可导致威胁行动者对充电桩造成损坏。参赛者必须对目标的被暴露服务或者一般用户可访问的通信协议/物理接口发起攻击。

本届大赛还新增了两个额外挑战。第一个额外挑战是充电连接器协议/信号操纵攻击。参赛者必须在电动车充电桩上获得代码执行权限,而payload必须操纵该协议和/或通过该充电连接器传输的信号。如果能完成上述挑战,则可获得额外1万美元的奖金和1个冠军积分点。另外一项额外挑战是充电连接器攻击。参赛者必须从充电连接器触发攻陷电动车充电桩。如果能够完成这一要求,则可获得2万的额外奖金和2分。

Part.04
操作系统

提到汽车中的操作系统可能令人奇怪,但它确实存在,而且很多。如果驾驶最近的奔驰、斯巴鲁、马自达或本田等,那么就会发现车中可能安装了汽车级 Linux (AGL)系统。这些车内操作系统与桌面版本相比如何?首届大赛证明AGL被成功拿下。参赛者必须针对目标的被暴露服务/特性发动攻击或者针对普通用户能够访问的通信协议进行攻击。

如获得“破解之王”的冠军称号,则会获得奖杯、大赛T恤以及额外的6.5万个ZDI奖励积分。更多规则可参见:https://www.zerodayinitiative.com/Pwn2OwnAuto2025Rules.html

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

首届Pwn2Own 汽车大赛落幕,Master of Pwn 诞生

谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day

Mozilla 修复Pwn2Own大赛发现的两个 Firefox 0day

Pwn2Own 2024温哥华大赛落幕  Master of Pwn 诞生

原文链接

https://www.zerodayinitiative.com/blog/2024/9/23/announcing-pwn2own-automotive-for-2025

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520932&idx=1&sn=92b8d0945843bbf9725d8256c2c2fd46&chksm=ea94a3cedde32ad801521626abd5e5cf08e937f05a876d7a5c93cf0d537a83ef33132c1f6faf&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh