全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 宣布全球領先的汽車製造商將成為其第一屆 Pwn2Own Automotive 汽車駭客大賽的主要贊助商,全球好手將齊聚一堂,爭奪高達一百萬美元的總獎金與獎品 (汽車)。
趨勢科技威脅研究副總裁 Brian Gorenc 表示:「Pwn2Own 是趨勢 Zero Day Initiative (ZDI) 漏洞懸賞計畫的重要支柱,多年來,這項計畫一直協助我們發掘消費性、工業及新興技術領域的最新漏洞。我們很高興並歡迎 Tesla (特斯拉) 成為我們的主要贊助商,而我們也加倍投入更多力氣來擴大我們在車用資安領域的影響力。」
Pwn2Own Automotive 由 ZDI 與趨勢科技車用資安新公司 VicOne 共同合辦,這是全球第一個唯一以聯網汽車安全為主題的競賽。結合 VicOne 深耕汽車生態系的專業知識以及 ZDI 平台來正面解決該領域的挑戰,勢必能帶來車用資安與威脅追蹤的綜效。
這項競賽的目的是要鼓勵更多人投入汽車生態系的資安研究,同時激勵廠商參與並提升大眾對現代化汽車多元、複雜的子系統相關的安全意識。
Tesla 之前就曾經和趨勢科技及 Pwn2Own 合作,其在電動車領域專業的知識讓 Pwn2Own Vancouver 大賽得以順利舉辦。除此之外,ChargePoint 也將成為 Pwn2Own 大賽此一新類別的另一家贊助商,為競賽提供技術指導與硬體支援。
去年,ZDI 發現並公布了 1,706 個新的漏洞。2023 年截至目前為止,ZDI 已通報超過 1,000 個非重複零時差漏洞。其中一個就是 MOVEit 的新漏洞,該漏洞在趨勢科技與廠商的通力合作下,已迅速獲得解決並負責任地對外揭露。
經由 ZDI 所獲得的珍貴情報和洞見,使得趨勢科技客戶能夠提前 70 多天預先取得防護,有了這些早期情報,趨勢科技就能隨時領先潛在威脅一步。
明年一月的競賽將提供超過一百萬美元的獎金和獎品,包括 Tesla 電動車。這項競賽將分成四大類別:
- Tesla:電動車於 2019 年 Pwn2Own Vancouver 競賽當中第一次列為賽事類別,本次的優勝者將有機會贏得高達 20 萬美元的獎金與一部電動車。參賽者可報名針對 Tesla Model 3/Y 或 Tesla Model S/X 的 Ryzen 處理器桌上型車用電腦單元破解競賽。
- 車載資訊娛樂 (IVI) 系統:該系統負責與使用者的電話連線,並提供導航、車內網際網路以及 Wi-Fi 連線,同時透過 CAN 匯流排與車上的其他系統連接,因此是駭客的熱門攻擊目標。現場將提供三台 IVI 裝置作為攻擊目標。
- 電動車充電器:電動車充電器過去並未受到駭客的太多關注。然而行動裝置應用程式、低功耗藍牙 (BLE) 連線,以及 OCPP 通訊協定都讓駭客有機會對電動車造成損害。現場將提供六款電動車充電器供比賽使用。
- 作業系統:參賽者必須試圖攻擊 Automotive Grade Linux、Blackberry QNX 及 Android Automotive OS 等作業系統的漏洞。
Pwn2Own 是趨勢科技 ZDI 旗下很重要的一項活動,自 2007 年至今已頒發超過 3 千萬美元的獎金來獎勵研究人員發掘各類科技產品的漏洞。Pwn2Own Automotive 預計將於 2024 年 1 月 24 至 26 日在東京的 Automotive World 全球汽車技術展覽會上舉行。
無法親臨現場參加 Pwn2Own Automotive 競賽的參賽者可從遠端參加。請於截止日期 (2024 年 1 月 18 日) 前報名,並且在報名結束前提交一份詳細的白皮書來說明漏洞攻擊程序與執行步驟。建議最晚要在截止日期至少兩個星期之前與主辦單位聯繫。
