Pwn2Own Automotive 2025ハッキング・コンテストが終了し、セキュリティ研究者は49件のゼロデイを悪用し、886,250ドルを集めた。
イベントを通じて、彼らは電気自動車(EV)充電器、車載オペレーティング・システム(Android Automotive OS、Automotive Grade Linux、BlackBerry QNX)、車載インフォテインメント(IVI)システムなど、車載ソフトウェアおよび製品を標的とした。
Pwn2Own Tokyo 2025のコンテストルールによると、対象となったすべてのデバイスは最新のOSバージョンを実行し、すべてのセキュリティアップデートがインストールされていた。
テスラもモデル3/Y(Ryzenベース)と同等のベンチトップ・ユニットを提供したが、コンテストに参加したセキュリティ研究者は、同社のWall Connector充電器に対する試行のみを登録した。
競技者たちは、初日に16のユニークなゼロデイをデモして賞金38万2750ドルを獲得し、2日目にはさらに23のゼロデイ脆弱性を悪用し、テスラのEV充電器を2回ハッキングして賞金33万5500ドルを獲得した。Pwn2Ownの3日目には、さらに10件のゼロデイで16万8000ドルを集めた。
Pwn2Ownイベントでゼロデイがデモされ報告された後、TrendMicroのZero Day Initiativeが公開する前に、ベンダーは90日以内にセキュリティパッチをリリースしなければならない。
Summoning TeamのSina Kheirkhahは、複数のEV充電器と車載インフォテインメント(IVI)システムをハッキングし、30.5 Master of Pwnポイント、賞金222,250ドルを獲得し、今年のPwn2Own Automotive 2025で優勝しました。
Synacktivは147,500ドルで2位、PHP Hooligansは110,000ドル、fuzzware.ioは68,750ドル、Viettel Cyber Securityは53,750ドルを獲得した。
Pwn2Own Automotive 2025の最終日に行われた各チャレンジの結果と最終結果は、こちらでご覧いただけます。
2024年1月に開催されたPwn2Own Automotiveの第1回では、セキュリティ研究者が複数の電気自動車システムで49個のゼロデイ・バグを実証し、テスラ車を2回ハッキングして132万3750ドルを獲得した。
その2ヶ月後、Pwn2Own Vancouver 2024のコンペティションで、ZDIは29のゼロデイ・バグでさらに113万2500ドルを獲得しました。Synacktivは、Vehicle (VEH) CAN BUS Controlを搭載したECUを30秒以内にハッキングし、20万ドルとテスラ・モデル3を獲得した。
Comments