セキュリティ研究者は、Pwn2Own Automotive 2025ハッキング・コンテストの2日目に、テスラの電気自動車用充電器Wall Connectorを2回ハッキングした。
さらに、WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger、Phoenix Contact CHARX、EMPORIA EV充電器、Alpine iLX-507、Kenwood DMX958XR、Sony XAV-AX8500車載インフォテインメント(IVI)システムのゼロデイ脆弱性23件を悪用した。
PHP Hooligansは、ゼロデイ・バグ「Numeric Range Comparison Without Minimum Check」を使用してデバイスを乗っ取り、Tesla Wall Connectorを最初にクラッシュさせた。続いてSynacktivが、充電コネクタ経由でテスラのEV充電器をハッキングした。
1つはPCAutomotiveチームによるもので、もう1つはSummoningチームのSina Kheirkhahによるもので、すでに知られている2つのバグのエクスプロイト・チェーンを使用した。
Pwn2Own Tokyo2025のコンテスト・ルールによると、コンテストの対象となるすべてのデバイスは、すべてのセキュリティ・アップデートがインストールされ、最新のオペレーティング・システム・バージョンを実行している必要があります。
トレンドマイクロのゼロデイ・イニシアティブは、2日目に23のゼロデイ脆弱性に対して33万5500ドルの賞金を授与した。Sina Kheirkhahは現在、Master of Pwnのトップを走っている。
Pwn2Own Automotiveの初日、セキュリティ研究者は16のユニークなゼロデイ脆弱性を悪用し、38万2750ドルの賞金を獲得した。コンペティション終了後、ベンダーはZDIがゼロデイバグを公開する前に、90日以内にセキュリティ修正プログラムを開発し、リリースする必要がある。
Pwn2Own Automotive 2025ハッキング・コンテストは、東京で開催されるオートモーティブ・ワールド会議期間中の1月22日から1月24日まで、自動車技術に焦点を当てて行われる。
ハッカーは、自動車のオペレーティング・システム(オートモーティブ・グレードLinux、アンドロイド・オートモーティブOS、ブラックベリーQNX)、電気自動車(EV)の充電器、車載インフォテインメント(IVI)システムをターゲットにする。
テスラもModel 3/Y(Ryzenベース)相当のベンチトップ・ユニットを提供したにもかかわらず、大会のスケジュールが公表される前に同社のウォール・コネクタに対する試みが登録されたセキュリティ研究者はいなかった。2日目のスケジュールと各チャレンジの結果は、こちらでも確認できる。
1年前、東京で開催されたPwn2Own Automotiveの第1回大会では、セキュリティ研究者がテスラを2回ハッキングし、複数の電気自動車システムの49のゼロデイ・バグを悪用したとして、132万3750ドルが授与された。
Comments