Cuộc thi tấn công mạng Pwn2Own Automotive lần thứ nhất đã kết thúc với tổng số tiền thưởng 1.323.750 USD được trao cho các đội tham gia.
Diễn ra từ ngày 24/1 đến 26/1 tại Tokyo, Nhật Bản, Pwn2Own Automotive là lần đầu cuộc thi tấn công mạng này nhằm vào lĩnh vực xe hơi. Cuộc thi tổ chức trong khuôn khổ tuần lễ Thế giới xe hơi. Các đội tham gia tìm cách tấn công bộ sạc xe điện, hệ thống thông tin giải trí, hệ điều hành ô tô đã được vá đầy đủ.
Sau khi một lỗ hổng zero-day bị phát hiện và khai thác, báo cáo cho nhà sản xuất trong thời gian diễn ra Pwn2Own, họ có 90 ngày để phát hành bản vá trước khi Trend Micro – đơn vị tổ chức cuộc thi – công khai.
Đội vô địch Pwn2Own Automotive 2024 là Synacktiv, mang về 450.000 USD tiền mặt, tiếp đến là fuzzware.io với 177.500 USD và Midnight Blue/PHP Hooligans với 80.000 USD.
Synacktiv đã tấn công xe điện Tesla hai lần, chiếm quyền root Modem Tesla bằng cách xâu chuỗi ba lỗ hổng trong ngày thi đầu tiên và demo khai thác lỗ hổng sandbox escape trong hệ thống thông tin giải trí Tesla trong ngày thi thứ hai. Nhóm còn demo hai chuỗi lỗ hổng khác nhằm vào trạm sạc Ubiquiti Connect EV Station và trạm sạc xe điện thông minh JuiceBox 40, cũng như khai thác ba lỗi nhắm vào Hệ điều hành Linux Automotive Grade.
Tại cuộc thi Pwn2Own Vancouver 2023, Synakctiv chính là đội chiến thắng, được thưởng 530.000 USD và một chiếc xe Tesla nhờ khai thác hai chuỗi lỗ hổng nhằm vào hệ thống Gateway and Infotainment Unconfined Root.
Tại Pwn2Own Toronto tổ chức tháng 10/2023, các đội thi được thưởng tổng cộng hơn 1 triệu USD cho 58 lỗ hổng zero-day nhằm vào các sản phẩm tiêu dùng như Samsung Galaxy S23, máy in, hệ thống giám sát, ổ lưu trữ mạng NAS. Nhóm kỹ sư Viettel (Team Viettel) là đội vô địch trong cuộc thi này nhờ ghi được 30 điểm sau 4 ngày.
Đầu tháng này, Trend Micro thông báo cuộc thi Pwn2Own Vancouver 2024 dự kiến diễn ra từ ngày 20/3 trong khuôn khổ hội nghị CanSecWest 2024 với giải thưởng hơn 1 triệu USD, nhắm đến các mục tiêu như phần mềm, hệ thống xe hơi trong Tesla Model 3 và Model S.
(Theo Bleeping Computer)
>> Thu hồi đầu số của SPT, mất 15,3 tỷ đồng vì bị lừa cài ứng dụng giả mạo