聚焦联网汽车安全漏洞的Pwn2Own Automotive竞赛圆满成功 智能应用 影音
Microchip
Event

聚焦联网汽车安全漏洞的Pwn2Own Automotive竞赛圆满成功

  • 吴冠仪台北

VicOne于东京Automotive World全球汽车技术展览会上举办了第一届Pwn2Own Automotive汽车网安漏洞竞赛,也是全球第一个专门发掘及解决联网汽车技术漏洞的比赛。来自欧、美、亚洲9个国家的17个参赛队伍和个人在四个竞赛类别报名参与共计51个项目的挑战。这次竞赛总共发现49个未知的安全漏洞,获奖者更抱走了价值132万7500美元的现金和奖品。首届竞赛的「Pwn大师」则由来自法国的Synacktiv团队摘下桂冠。

VicOne与趋势科技Zero Day Initiative携手共同主办的这场竞赛是专注于汽车的合法黑客竞赛,却是「Pwn2Own」竞赛自2007年以来举办过规模最大的竞赛之一。作为引领发现零日漏洞的汽车网络安全专家,VicOne持续关注不断发展的互联汽车生态系统以及广泛的受攻击面,除了为车厂、供应商及整个车联网提供车用网安解决方案,我们致力透过真实的研究来解决真实的问题,希望透过竞赛的方式邀请各路好手来共同发掘汽车网络中的漏洞,以推动相关技术发展,多方面守护联网车辆网安。

这次Pwn2Own Automotive汽车网安漏洞竞赛总共有四大竞赛类别:Tesla、车载信息娱乐系统、电动车充电器,以及操作系统,考题则以VicOne对汽车系统与相关数码基础架构的专业知识以及Zero Day Initiative平台为基础。Tesla是本届Pwn2Own Automotive的主要赞助商,ChargePoint亦是这次比赛的赞助商,为竞赛的充电器组提供技术指导与硬件支持。

各队的比赛顺序在竞赛前一天抽签公告,若要赢得比赛,参赛者必须利用新发现的漏洞来攻击目标系统和设备,并能执行任意指令。2024年一共收到了51个报名参赛项目,从赛程表发现参加队伍中针对电动车充电器以及车载影音系统两个类别的攻击最多,分别占了近六成以及三成。

三天比赛下来成果丰硕,虽然有撞洞情形发生,但总共发现49个未曾被发现或是揭露的安全漏洞。获得Pwn大师桂冠的Synacktiv团队,继2023年3月挑战Tesla成功,这次又再度挑战Tesla项目成功,并在其他三个类别也获得胜利,抱回总共45万美元的奖金。这次竞赛前五名的队伍皆来自欧洲。

每一个被发现并揭露的漏洞,都意味着黑客利用它来开发零时差攻击的机会又少了一些。同时,提供设备的厂商可以借此发现产品中的弱点并尽快补救,避免未来可能遭受到的黑客攻击并带来声誉和营运损失,更重要的是,这不仅仅是各路好手精英之间的良性竞争,还包括与汽车产业以及汽车网络安全专家的合作,通过创新和承诺使整个产业更加安全。

VicOneCEO郑奕立表示,包含Tesla、趋势科技Zero Day Initiative、以及所有参与此活动的合作夥伴们,我们很高兴与大家透过座谈会分享、现场攻击演示以及漏洞发掘竞赛等一起交流车联网网安研究和分享创新精神,这样的活动对于协助全球汽车产业预测及防范不断演进的网络安全威胁情势至关重要。2024年的参赛队伍以及报名参赛项目的数量皆远超出我们的预期,手法也相当精彩。

VicOne期盼透过举办Pwn2Own Automotive,以更多元的方式和白帽黑客社群的参赛者及合作夥伴们一起保护我们的数码风景,为更安全的联网汽车共同努力。Pwn2Own Automotive不会只有一届,VicOne将继续主办本次活动并希望2025大家再见。

趋势科技漏洞研究资深总监Brian Gorenc回应道,自2007年以来,Pwn2Own一直是世界上最大的黑客竞赛,以奖励全球顶尖的研究人员能够渗透世界上最具挑战性的攻击表面并发现零日漏洞。尽管先前的比赛涵盖了广泛的领域,但今年的比赛是第一次专注于汽车领域的Pwn2Own。发现49个新的未知漏洞并有机会汇聚汽车制造商、供应商和世界级安全研究人员的社群,这样的活动对于全球汽车产业真的很有意义。

欲了解更多有关Pwn2Own Automotive以及更多车用网安的信息,和未来Pwn2Own黑客竞赛的更多信息,可关注VicOne与ZDI的社群媒体和博客。