În prima zi a evenimentului Pwn2Own Automotive 2025, participanții au descoperit 16 vulnerabilități zero-day, câștigând premii în valoare de $382.750.
Pwn2Own este o competiție de hacking organizată de Zero Day Initiative (ZDI), un program al companiei de securitate Trend Micro, în care participanți de elită își demonstrează cunoștințele tehnice prin exploatarea de vulnerabilități zero-day în diverse produse (software, dispozitive mobile, și chiar mașini).
Pe lângă un premiu consistent în bani, câștigătorii fiecărei categorii a competiției primesc și produsul pe care l-au exploatat. Toate vulnerabilitățile folosite în concurs sunt raportate producătorilor, care lucrează cu experții în securitate pentru a le rezolva.
Pwn2Own Automotive este dedicat exclusiv identificării vulnerabilităților zero-day în tehnologia auto prezentă pe mașini moderne, conectate la internet.
Hackerii sparg sisteme infotainment și EV chargers
Anul acesta, Pwn2Own Automotive s-a desfășurat în cadrul conferinței Automotive World din Tokyo. Competiția a început astăzi și se va termina pe 25 ianuarie, având patru categorii de participare: Tesla, in-vehicle infotainment (IVI), încărcătoare vehicule electrice, și sisteme de operare.
După prima zi, cercetătorii în securitate cibernetică au demonstrat 16 vulnerabilități zero day (necunoscute publicului și producătorilor) în diverse sisteme auto, precum in-vehicle infotainment (IVI) sau încărcătoare de vehicule electrice (EV).
Echipa Fuzzware.io s-a remarcat prin exploatarea cu succes a două încărcătoare EV, pentru care a câștigat $50.000:
- Autel MaxiCharger – exploatat prin stack-based buffer overflow
- Phoenix Contact CHARX SEC‑3150 – compromis prin erori de validare
Cercetătorul Sina Kheirkhah de la Summoning Team a câștigat $91.750 identificând vulnerabilități critice în:
- încărcătoare Ubiquiti – folosind chei criptografice hard-codate ($50.000)
- Phoenix Contact CHARX SEC‑3150 – combinație de trei zero-days, una din ele cunoscută dinaintea competiției ($41.750)
Synacktiv Team a obținut $57.500 și a ajuns pe locul trei după ce a compromis ChargePoint Home Flex (model CPH50) folosind tehnici de manipulare a semnalelor.
Echipa PHP Hooligans au câștigat $50.000 după ce au folosit o vulnerabilitate buffer overflow pentru a exploata un încărcător auto Autel cu cea mai recentă actualizare de la producător.
Alte realizări din prima zi a Pwn2Own Automotive 2025 au inclus exploatări ale sistemelor IVI de la Alpine, Kenwood, de digital media receivers de la Kenwood (DMX958XR) și Sony (XAV-AX8500), precum și a platformei Automotive Grade Linux – un proiect open source ce propune dezvoltarea unei platforme pentru toate aplicațiile auto, de la infotainment la condus autonom.
