趋势科技举办Pwn2Own黑客大赛突破创新极限
- 萧怡恩/台北讯
-
全球网络网安领导厂商趋势科技日前举办 Pwn2Own 黑客大赛展现科技创新实力,全球10亿以上的企业及一般使用者都将因此竞赛而获得更优异的网安防护。
趋势科技Zero Day Initiative (ZDI)漏洞悬赏计划每年都会举办这项大赛,2022年是Pwn2Own的第15届,总共提供115万5千美元的奖金来奖励参赛的产业研究人员,为包括Microsoft、Tesla、Zoom等合作夥伴与赞助商VMware在内的软件厂商揭露了25个零时差漏洞。
这项年度盛会专门鼓励全球顶尖漏洞研究人员,针对企业软件发掘各种热门应用程序的最新漏洞,让厂商能够预先修补漏洞以防止被黑客利用。而赛中所挑选的软件是为了鼓励研究人员将心力集中在一些对全球企业及一般使用者最重要的领域。
趋势科技营运长Kevin Simzer表示:「线上上班将成为常态,而电动车的时代也已经来临,不论这些运算装置所在的位置为何,我们希望能够确保这些运算领域背后的软件安全无虞。不仅是对我们和我们的客户,对于整个 IT 产业与每天使用这些软件的所有使用者,Pwn2Own黑客大赛所提供的威胁情报是非常珍贵的信息。」
Microsoft Azure及M365安全企业副总裁Aanchal Gupta 表示:「我们相当荣幸能与趋势科技ZDI合作举办第15届Pwn2Own大赛,这项竞赛对Microsoft具有独特且重要的地位,参赛者所发掘的每一个漏洞皆能加快我们对产品与服务的安全修补速度,进而守护世界各地成千上万的客户。」
?
发掘网络黑客如何利用新的方法来攻击关键应用程序,同样也有助于趋势科技不断创新,其中也包括了车用网安领域。对此,趋势科技旗下车用网安子公司VicOneCEO郑奕立表示:「在全球进入电动车时代之际,联网汽车相关的系统漏洞与威胁将逐渐浮上台面。透过Pwn2Own这样的顶尖竞赛,将有助于我们探索已知和未知的汽车网安威胁,进而深入地分析并研究未来可能的黑客攻击手法,并进一步产出修补和防御方案。」
在2022年Pwn2Own的电动车类别竞赛中,共有两支参赛队伍挑战Tesla Model 3车用信息娱乐系统与以太网诊断系统的漏洞。根据VicOne研究团队的观察,车用信息娱乐系统(In-Vehicle Infotainment system;IVI system)元件可被黑客线上锁定并利用来进行攻击,并且IVI所使用类似手机或电脑的操作系统,相较于在电子控制单元 (ECU) 中使用的高度专业化的操作系统,更容易让黑客上手并利用漏洞发动攻击。另一点值得注意的是,目前市场上已经出现可疑分子贩售用于解锁IVI功能的漏洞,供应商更需与专业网安团队合作以加速强化网安防御进程。更多关于车用信息漏洞研究请参考VicOne博客文章 Takeaways from Tesla Hack in Pwn2Own Vancouver 2022。
如欲了解Pwn2Own 2022大赛结果的完整内容,请至活动网站。
