详细内容或原文请订阅后点击阅览
Pwn2Own Automotive 2026 发现 76 个零日漏洞,支付超过 100 万美元
信息安全简述 此外,网络犯罪分子遭到入侵、Gemini 泄密等等上周对于汽车软件系统来说是黑暗的几天,第三届年度 Pwn2Own 汽车竞赛发现了从特斯拉信息娱乐系统到电动汽车充电器等目标的 76 个独特的零日漏洞。
来源:The Register _恶意软件信息安全简介 上周对于汽车软件系统来说是黑暗的几天,第三届年度 Pwn2Own 汽车竞赛发现了从 Tesla 信息娱乐系统到电动汽车充电器等目标的 76 个独特的零日漏洞。
今年在东京汽车世界举行的竞赛共有 73 个参赛作品,创下了纪录,虽然并非所有参赛作品都取得了成功,但趋势科技的零日计划最终仍然向成功的竞争对手支付了超过 100 万美元。
对于那些不熟悉 Pwn2Own 竞赛结构的人来说,道德黑客和安全专家会带着计划执行某种攻击,他们必须在有限的时间内完成该攻击。成功的尝试将获得现金奖励,积分也会根据独特性、影响力和复杂性而增加。
为期三天的活动中,最大的单次漏洞利用支出(和积分奖励)颁给了第一天的最终获胜者,即来自 Fuzzware.io 的三名安全研究人员。该团队利用 Alpitronic HYC50 EV 充电器中的单个越界写入漏洞,赢得了 60,000 美元并获得了 6 分。
Fuzzware 黑客通过七次成功的演示,最终获得了 28 分和 215,500 美元的总奖金,赢得了 Pwn 大师的称号。
除了 Fuzzware 成功攻击 HYC50 之外,另一个团队还设法利用充电器中的检查时间到使用时间漏洞,他们利用该漏洞在充电器的屏幕上安装了可玩版本的《Doom》,赚取了 20,000 美元。 HYC50还遭到了另一个团队的攻击,该团队利用了充电器中暴露的“危险”方法。
Tesla 信息娱乐系统也被 Synacktiv 团队完全接管,将信息泄漏与越界写入漏洞联系起来,而 Automotive Grade Linux 也因三个漏洞而受到损害。
希望所有受影响的供应商能够迅速采取行动,解决活动期间发现的许多漏洞。