Подія Pwn2Own Automotive 2025, на конференції Automotive World у Токіо, завершився важливими відкриттями щодо безпеки в автомобільних інформаційно-розважальних системах, зарядних станціях для електромобілів і робочих платформах, що використовуються в промисловості. Протягом трьох днів змагань, Було виявлено 49 уразливостей нульового дня, Тобто невідомі раніше збої, які безпосередньо впливають на технологічну інфраструктуру автомобільної галузі.
Цей випуск Pwn2Own Automotive 2025 підкреслив чудову роботу та, перш за все, здатність учасників використовувати ці вразливості на пристроях, які працюють під керуванням найновіших мікропрограм та операційних систем, із усіма застосованими оновленнями та конфігураціями за замовчуванням.
Найуспішніші нагороди та учасники
Для тих, хто не знайомий з Pwn2Own Automotive, варто знати, що це не просто змагання знань і навичок, оскільки конкурс присуджує різні суми призів дослідникам, які успішно демонструють свої подвиги. Під час цього видання 2025 року загальна сума призів склала 886,000 222,000 доларів США, а найвидатнішою учасницею стала Сіна Хейркха, яка отримала 147,000 110,000 доларів США за свої відкриття. Команда Synacktiv, яка посіла друге місце, отримала XNUMX XNUMX доларів США, а команда PHP Hooligans, яка посіла третє місце, отримала XNUMX XNUMX доларів США.
Найактуальніші атаки
Під час змагань було здійснено кілька успішних атак на різні пристрої та платформи, що охоплювали як інформаційно-розважальні системи, так і станції зарядки електромобілів. Серед відомих систем інформаційно-розважальних систем:
- Automotive Grade Linux: Успішний експлойт скомпрометував середовище на базі Automotive Grade Linux, платформи, яка широко використовується в галузі, з винагородою в розмірі 33,500 XNUMX доларів США.
- Alpine iLX-507: Дев’ять окремих атак успішно використали вразливі місця в цій системі, загалом нараховано 20,000 XNUMX доларів США. Виявлено переповнення буфера, заміну команд, помилки перевірки сертифіката та експлойти проходження шляху до файлу. Примітно, що три з цих атак використовували вразливість, про яку вже повідомлялося в попередньому випуску конкурсу, що свідчить про те, що виробники ще не виправили певні проблеми безпеки, виявлені рік тому.
- Sony XAV-AX8500: Було здійснено п’ять успішних зломів із винагородою на загальну суму 20,000 XNUMX доларів США. Уразливості включали переповнення цілого числа, обхід автентифікації, підстановку команд і переповнення буфера.
- Kenwood DMX958XR: Вісім атак скомпрометували цю систему з виплатами до 20,000 XNUMX доларів для учасників. Були використані недоліки підміни команд в операційній системі, а також помилки переповнення буфера та відомі вразливості.
Зарядні станції для електромобілів
Одним із найбільш тривожних висновків конкурсу стала кількість уразливостей, виявлених у зарядних станціях для електромобілів, які можуть становити значний ризик, якщо їх використати в реальному середовищі.
- Phoenix Contact CHARX SEC-3150: Було продемонстровано три успішні атаки із загальною виплатою 91,750 XNUMX доларів США. Було виявлено експлойт, який поєднував три помилки в ланцюжку, дозволяючи отримати контроль над системою.
- ChargePoint Home Flex: Три успішні хаки з призами до $47,500 XNUMX. Було виявлено переповнення буфера та використання протоколу OCPP, який є ключовим для зв’язку між зарядними станціями та електромережею.
- Станція Ubiquiti Connect EV: Дві атаки використовували криптографічний ключ, залишений у мікропрограмі, що принесло винагороду в розмірі 50,000 26,750 доларів США та XNUMX XNUMX доларів США.
- Настінний роз’єм Tesla: будучи одним із найбільш постраждалих, було продемонстровано загалом п’ять успішних хаків із виплатами, що досягли 50,000 XNUMX доларів США. Ці експлойти можуть становити серйозну небезпеку для власників Tesla EV, уможливлюючи атаки на інфраструктуру зарядки.
- Autel MaxiCharger AC Wallbox: Чотири успішні атаки з призами до 50,000 XNUMX доларів. Виявлені вразливості включали переповнення буфера, яке могло поставити під загрозу безпеку та функціональність пристрою.
Що стосується продемонстрованих атак і відповідно до правил конкурсу, варто зазначити, що технічні деталі виявлених уразливостей не будуть оприлюднені ще протягом 90 днів, протягом яких виробники зможуть розробити та випустити патчі безпеки для виправлення недоліків.
Нарешті, якщо вам цікаво дізнатися більше про це, ви можете звернутися до подробиці за наступним посиланням.