第一屆Pwn2Own Automotive大賽、2024年1月東京見
趨勢科技車用資安新公司 VicOne 今表示,VicOne 的資安研究員獲邀作為今年趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫在溫哥華主辦的 Pwn2Own 競賽的觀察團隊成員之一,並直擊今年來自法國的 Synacktiv 團隊成功揭露特斯拉 (TESLA) Model 3 的 3 個零時差漏洞(0-day vulnerability)過程,該團隊曾經在 2022 年的比賽中也挑戰成功。Synacktiv 團隊最終成為 2023 年 Pwn2Own 比賽的冠軍,獲得了總共 53 萬美元的獎金,以及一輛 TESLA Model 3 電動車。他們發現的漏洞將有助於 TESLA 補強其產品安全性。
除了發現和利用 TESLA 漏洞外,Pwn2Own 參賽者所預設的複雜又全新的情境也為汽車製造商和 Tier 1 供應商提供了寶貴的見解,幫助他們預見並充分準備應對現實世界中的類似攻擊。
「VicOne 一直在前線努力找出未來聯網車輛可能遭遇的攻擊,」VicOne 汽車網路威脅研究實驗室副總裁張裕敏說道:「憑藉著世界頂尖安全研究人員的專業知識和像 TESLA 這樣追求車輛安全而慷慨參與的公司,Pwn2Own 競賽中所有人都致力為聯網產品和汽車消費者的安全保障付出心力。」
每年舉辦兩次的 Pwn2Own 駭客競賽是全球白帽駭客最高殿堂,以各類連網產品為主題,邀請世界各地頂尖白帽駭客從廣泛使用的軟體和行動裝置中找出 0-day 漏洞。參賽團隊在會中競相展示他們的技能並揭露產品中的弱點和漏洞,獲得的獎品除了大會的獎金外還包括他們成功破解的設備。參與的廠商則受益於未知漏洞的披露,得以提早修補產品的弱點。
有鑒於人身安全的珍貴以及車輛生態系網路安全的重要性,ZDI 漏洞懸賞計畫正在擴大 Pwn2Own 競賽,並將於 2024 年與 VicOne 共同舉辦專屬汽車產業的第一屆Pwn2Own Automotive大賽。這個首次專門針對汽車安全漏洞的駭客競賽將在明年 1 月 24 日至 26 日 Automotive World Tokyo(東京汽車世界 2024)中舉行,並廣邀汽車產業與相關零組件製造商共襄盛舉。
透過全新的 Pwn2Own Automotive 競賽,期望:
– 以獎金鼓勵更多研究人員針對不同產品與平台,投入車用資安研究報告,進一步推動汽車網路安全相關的研究工作。
– 藉由突顯需要進行安全評估的關鍵技術,揭示連網汽車可能的受攻擊面。
– 針對車輛的多系統攻擊提供更高的獎勵誘因,期望參賽者能發掘出更多有挑戰性且複雜的連網汽車威脅。
我們有
