Pwn2own Automotive: Tesla violate ben due volte, 49 0day 1,3 milioni di dollari in premi per gli hacker delle automobili

Redazione RHC : 27 Gennaio 2024 08:06

Si è conclusa a Tokyo la prima competizione hacker Pwn2Own Automotive. La competizione era dedicata all’hacking delle automobili e di tutto ciò che ad esse è connesso, organizzata da Trend Micro Zero Day Initiative (ZDI). In tre giorni, i partecipanti hanno guadagnato 1.323.750 dollari. Sono riusciti ad hackerare per ben due volte le Tesla e hanno sfruttato 49 vulnerabilità zero-day contro veicoli elettrici, stazioni di ricarica e altro ancora.

Il concorso si è svolto nell’ambito della conferenza automobilistica Automotive World. Tra gli obiettivi offerti agli hacker c’erano Tesla Model 3/Y (basata su Ryzen) o Tesla Model S/X (basata su Ryzen). Erano inclusi sistemi di infotainment, modem, sintonizzatori, comunicazione wireless e pilota automatico. Inoltre erano presenti caricabatterie per veicoli elettrici e sistemi operativi automobilistici tra cui Automotive Grade Linux, Android Automotive OS e BlackBerry QNX.

Tutte le vulnerabilità dimostrate dagli esperti sono condivise con i fornitori. I vendor devono risolvere i problemi entro 90 giorni. Passati i quali Trend Micro Zero Day pubblicherà i dettagli tecnici di tutti gli exploit zero-day utilizzati nella competizione.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il vincitore indiscusso del Pwn2Own Automotive 2024 è stato il team Synacktiv, che ha guadagnato 450.000 dollari e 50 punti Master of Pwn. È stata seguita da fuzzware.io con 177.500 dollari (25,5 punti) e Midnight Blue/PHP Hooligans con 80.000 dollari (16 punti).

Nell’ambito del concorso, gli esperti di Synacktiv hanno compromesso Tesla due volte: prima hanno ottenuto l’accesso root al modem Tesla (concatenando tre vulnerabilità), poi sono fuggiti dalla sandbox del sistema di infotainment dell’auto utilizzando due catene di 0-day sfrutta.

Sempre durante la competizione, i ricercatori hanno dimostrato due catene di attacchi uniche mirate contro le stazioni di ricarica Ubiquiti Connect EV  e Smart EV JuiceBox 40. Nonché un exploit che combinava tre bug in Automotive Grade Linux .

Vale la pena notare che questa non è la prima volta che il team Synacktiv prende il comando su Pwn2Own. Gli esperti, ad esempio, sono stati i vincitori del Pwn2Own Vancouver 2023 . In questa manifestazione hanno anche violato con successo la Tesla Model 3, mostrato un aumento dei privilegi su Ubuntu Desktop

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli