全球車用安全領導廠商VicOne今天宣布該公司將共同舉辦2024年第一屆Pwn2Own Automotive汽車安全漏洞競賽,這是全球第一個專門發掘及解決聯網汽車技術漏洞的比賽。Tesla將擔任本屆Pwn2Own Automotive的主要贊助商。除此之外,美國充電樁設備商龍頭ChargePoint也將是Pwn2Own大賽的贊助商,為競賽的充電器組提供技術指導與硬體支持。
Pwn2Own Automotive預定於2024年1月24至26日在日本東京Automotive World全球汽車技術展覽會上舉行。參賽者將有機會在各種考驗其中角逐超過1百萬美元的獎金及獎品,考題將以VicOne對汽車系統與相關數字基礎架構的專業知識以及Zero Day Initiative(ZDI)平台為基礎。趨勢科技的ZDI所披露及管理的漏洞數量獨步全球,是全球最大的非限定廠商獨立漏洞懸賞計劃。
「若沒有VicOne,就不會有Pwn2Own Automotive汽車安全漏洞競賽誕生。」趨勢科技威脅研究副總裁Brian Gorenc表示:「VicOne提供了有關聯網汽車組件真實威脅與可攻擊面的專業知識和紮實洞見,並知道如何將這些資訊披露給安全研究人員,讓他們能務實地解決這些問題。VicOne在這方面擁有無可匹敵的經驗,是我們能在汽車產業享譽盛名的關鍵,展現了我們正在通過真實的研究解決真實的問題,而非只是耍弄一些商業價值有限的黑客特技。」
競賽類別
攻擊目標Tesla
針對Tesla Model 3/Y或Tesla Model S/X的Ryzen處理器桌面車用電腦單元破解競賽。優勝者將有機會贏得高達20萬美元的獎金與一部電動汽車。
車載資訊娛樂(IVI)系統
IVI是黑客的熱門攻擊目標,現場將提供三台IVI設備作為攻擊目標:Sony XAV-AX5500、Alpine Halo9 iLX-F509、Pioneer DMH-WT7600NEX。
電動汽車充電器
移動設備應用程序、低功耗藍牙(BLE)連接,以及OCPP通信協議都讓黑客有機會對電動汽車造成損害。現場將提供六款電動汽車充電器供比賽使用:ChargePoint Home Flex、Phoenix Contact CHARX SEC-3100、EMPORIA EV Charger Level 2、JuiceBox 40 Smart EV Charging Station with WiFi、Autel MaxiCharger AC Wallbox Commercial (MAXI US AC W12-L-4G)、Ubiquiti Connect EV Station。
作業系統
參賽者必須試圖攻擊Automotive Grade Linux、Blackberry QNX及Android Automotive OS等作業系統的漏洞。針對Automotive Grade Linux目標的參賽者,如果利用了BlueZ、oFono和ConnMan子系統的漏洞,則可以獲得額外的10,000美元獎金。
Pwn2Own Automotive共分成四大競賽類別:Tesla、車載資訊娛樂(IVI)系統、電動汽車充電器,以及作業系統。每個組別都有要完成的目標,參賽者在線上報名過程中請告知欲參賽的類別。所有參賽作品必須侵入設備並示範在設備上得以執行任意代碼。
VicOne首席執行官鄭奕立指出:「我們非常高興Tesla能夠在Pwn2Own Automotive擔任主要贊助商。作為車用安全廠商VicOne希望領銜鼓勵紮實研究以解決真實世界的汽車安全威脅,此次與ZDI的合作,更展現了VicOne在發掘聯網汽車漏洞以防範未來攻擊的領先地位。這樣的活動對於協助全球汽車產業預測及防範不斷演進的威脅情勢至關重要。」
比賽報名截止日期為:2024年1月18日,報名時須繳交一份白皮書詳細說明漏洞攻擊的程序及執行步驟。本競賽開放遠程參賽,建議最晚要在截止日期至少兩個星期之前與主辦單位聯繫。
