首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >黑客在 Pwn2Own Automotive 2025 第一天利用了 16 个0day漏洞

黑客在 Pwn2Own Automotive 2025 第一天利用了 16 个0day漏洞

原创
作者头像
星尘安全
发布于 2025-01-24 02:02:10
发布于 2025-01-24 02:02:10
1490
举报
文章被收录于专栏:黑客黑客网络安全
图片
图片

在 Pwn2Own Automotive 2025 的第一天,安全研究人员利用了 16 个独特的零日漏洞,并获得了 382,750 美元的现金奖励。

Fuzzware.io 利用基于堆栈的缓冲区溢出和源站验证错误漏洞入侵了 Autel MaxiCharger 和 Phoenix Contact CHARX SEC-3150 电动汽车充电器,并在竞争中处于领先地位。这为他们赢得了 50,000 美元和 10 个 Master of Pwn 积分。

Summoning Team 的 Sina Kheirkhah 在使用硬编码加密密钥漏洞和三个零日漏洞的组合(其中一个之前已知)入侵了 Ubiquiti 和 Phoenix Contact 的 CHARX SEC-3150 EV 充电器后,也获得了 91,750 美元和 9.25 个 Master of Pwn 积分。

Synacktiv 团队在排行榜上排名第三,在成功演示了 OCPP 协议中的一个错误后,通过连接器信号操纵来破解 ChargePoint Home Flex(CPH50 型号),并获得了 57,500 美元。

PHP Hooligans 的安全研究人员还使用基于堆的缓冲区溢出成功破解了完全修补的 Autel 充电器,并获得了 50,000 美元,而 Viettel 网络安全团队在使用操作系统命令注入0day获得 Kenwood 车载信息娱乐 (IVI) 上的代码执行后,获得了 20,000 美元。

在 Pwn2Own 期间利用并报告零日漏洞后,供应商有 90 天的时间来开发和发布安全补丁,然后 TrendMicro 的 Zero Day Initiative 才会公开披露它们。

图片
图片

Pwn2Own Automotive 2025 黑客竞赛专注于汽车技术,于 1 月 22 日至 1 月 24 日在东京汽车世界汽车大会期间举行。

在整个竞赛过程中,安全研究人员可以针对电动汽车 (EV) 充电器、车载信息娱乐 (IVI) 系统和汽车操作系统(即汽车级 LinuxAndroid Automotive OS 和 BlackBerry QNX)。

虽然特斯拉还提供了 Model 3/Y(基于 Ryzen)等效的台式装置,但参赛者只进行了针对该公司连接器的尝试。

在 2024 年 1 月的第一届 Pwn2Own Automotive 期间,黑客因两次入侵特斯拉并在多个电动汽车系统中展示了 49 个零日漏洞而筹集了 1,323,750 美元。

两个月后,在 2024 年 Pwn2Own 温哥华站期间,安全研究人员在利用 29 次零日漏洞(和一些漏洞碰撞)后赚取了 1,132,500 美元。Synacktiv 在 30 秒内入侵了带有车辆 (VEH) 总线控制的 ECU 后,带着 200,000 美元和一辆特斯拉 Model 3 汽车回家。

今年汽车黑客竞赛的完整赛程可在此处查看,而第一天的赛程和每项挑战的结果可在此处查看。

https://www.zerodayinitiative.com/blog/2025/1/21/pwn2own-automotive-2025-the-full-schedule

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
直击Pwn2Own 2023:有黑客喜提两辆Model 3,斩获25万美金
2023年度的世界黑客大赛(Pwn2Own)已于当地时间3月22日在温哥华开赛,在为期3天的赛程中,参赛者们向包括微软、Mozilla、谷歌、Adobe、甲骨文、VMware、Ubuntu以及特斯拉在内的9大品牌产品发动攻势,主办方为本届比赛总计准备了108万美元奖金。目前,比赛正接近尾声,这些产品大多已被攻破。  Adobe  Day 1:Adobe Reader成为首个被攻破的产品,Haboob SA 团队成员因此拿下了“首金”,他在企业应用程序类别中展示了针对 Adobe Reader 的零日漏
FB客服
2023/03/29
4570
直击Pwn2Own 2023:有黑客喜提两辆Model 3,斩获25万美金
FreeBuf 周报 | 知名黑客论坛BreachForums宣布关闭;法拉利被黑客入侵
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 韩国美妆内容平台 PowderRoom 近100 万用户数据泄漏 韩国美妆内容平台 PowderRoom 泄露了近 100 万用户的个人信息信息,安全研究人员声称泄露的数据库已经公开使用了一年多。据悉,此次泄露的信息主要包括用户姓名、电话号码、电子邮件、Instagram 用户名和家庭地址等。 2. 直击Pwn2Own 2
FB客服
2023/03/29
8240
FreeBuf 周报 | 知名黑客论坛BreachForums宣布关闭;法拉利被黑客入侵
Pwn2Own 2023落幕,冠军斩获超50万美元奖金
当地时间3月24日,2023年度的世界黑客大赛(Pwn2Own)迎来了最后一天的比赛,当天,参赛队伍通过演示5个针对 Windows 11、Ubuntu 和 VMware Workstation的零日漏洞之后,总共获得了18.5万 美元的奖金。 其中Ubuntu被3个不同的参赛团队攻破了3次,其中ASU SEFCOM和Theori团队的成员分别利用Double Free漏洞和释放后使用漏洞(UAF)各获得了3万美元奖金,而另一个团队Pham由于漏洞碰撞仅获得了1.5万美元。 而前两日对特斯拉大打出手、喜提
FB客服
2023/03/29
7650
Pwn2Own 2023落幕,冠军斩获超50万美元奖金
Pwn2Own 大会落幕,三星多次被攻破,苹果和谷歌躲过一劫
Bleeping Computer 网站披露,Pwn2Own 多伦多 2023 黑客大赛落下帷幕,参赛团队在为期 3 天的比赛时间里,针对消费类产品进行了 58 次零日漏洞利用(以及多次漏洞碰撞),共获得了 103.85 万美元的奖金。
FB客服
2023/11/02
3480
Pwn2Own 大会落幕,三星多次被攻破,苹果和谷歌躲过一劫
零点击漏洞又出Bug!两名白帽黑客用无人机「黑」了特斯拉
通过无人机远程利用「零点击漏洞」成功入侵了特斯拉,通过wifi控制特斯拉的信息娱乐系统,可以打开车门、后备箱,调整座椅位置,打开转向、加速模式等。
新智元
2021/05/28
5790
零点击漏洞又出Bug!两名白帽黑客用无人机「黑」了特斯拉
小心黑客攻击!你的电动汽车“安全”吗
电动汽车在全球范围内的快速增长大大促进私人和公共电动汽车充电设备 (EVSE) 的安装,但是,网络安全研究人员最近发现了 在EVSE 设备、电动汽车 (EV) 通信和上游服务(例如 EVSE 供应商云服务、第三方系统和电网运营商)中存在的多个漏洞。黑客若通过这些漏洞对充电系统发起网络攻击,会对其产生较为严重的破坏,本文调查了公开披露的 EVSE 漏洞、EV 充电器网络攻击的影响,并提出了 EV 充电技术的安全保护措施。 一. EVSE存在巨大的网络安全问题 未来十年,电动汽车将会继续增加,充电桩也
FB客服
2023/03/29
5980
小心黑客攻击!你的电动汽车“安全”吗
Pwn2Own 2021现场实录:苹果失宠?Zoom、Chrome被入侵
作为Pwn2Own历史上规模最大的活动之一,此次累计有23次独立的黑客尝试,涉及10 种不同产品,包括网络浏览器、虚拟化、服务器等。尝试目标则涵盖了Microsoft Exchange、Parallels、Windows 10、Microsoft Teams、Ubuntu、Oracle VirtualBox、Zoom、Google Chrome和Microsoft Edge。
FB客服
2021/04/16
6560
Pwn2Own 2021现场实录:苹果失宠?Zoom、Chrome被入侵
BBA也无法幸免,这些汽车品牌曾被黑客攻击
3月22日,世界黑客大赛(Pwn2Own)在温哥华拉开序幕。2023 Pwn2Own为期三天,主办方为本届比赛总计准备了108万美元奖金,来自全球各个国家和地区的安全专家大展神通,纷纷向知名品牌发起网络攻击。 在Pwn2Own大赛上,就有黑客成功攻破特斯拉汽车安全防护,而且是攻破了“两次”,也因此获得了大量的赏金。 第一天,Synacktiv团队演示了针对特斯拉Gateway 的 TOCTOU的竞态条件漏洞攻击。他们获得了 10万美元和 10 个 Master of Pwn 积分,并额外获赠了一辆特斯拉Mo
FB客服
2023/04/04
5310
BBA也无法幸免,这些汽车品牌曾被黑客攻击
2024年智能汽车多样化攻击途径
随着攻击变得越来越复杂和频繁,能给整个生态系统带来大规模影响的大门已经打开,智能移动汽车利益相关者必须意识到新兴威胁以及它们对网络韧性的潜在影响。在2023年,网络攻击变得更加复杂和频繁,针对各种车辆系统和组件,以及智能移动平台、物联网设备、应用程序,并使整个行业快速意识到任何连接点都有遭受攻击的风险。
FB客服
2024/02/29
2070
2024年智能汽车多样化攻击途径
BUF大事件丨Chrome 0Day漏洞PoC公布;微软发布4月补丁更新
本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,Pwn2Own 2021黑客大赛落下帷幕;谷歌Chrome接连曝出0day PoC;微软发布4月补丁更新,修复了108个漏洞和5个零日漏洞。想要了解详情,来看本周的BUF大事件吧! 观看视频 内容梗概 谷歌Chrome 0Day漏洞通报 4月13日,国外安全研究员发布了一个基于Chromium内核的远程代码执行0Day漏洞。漏洞影响Chrome最新正式版(89.0.4389.114)以及所有低版本,攻击者可以通过构造特殊的Web页面,诱导受害者访问,达到远
FB客服
2023/04/26
2980
BUF大事件丨Chrome 0Day漏洞PoC公布;微软发布4月补丁更新
中国在成都办了场自己的“Pwn2Own”,第一天就黑了Safari和Chrome
他们聚集到在一起,架上电脑,直接向Chrome、Edge、Safari、Microsoft Office 365等知名软件发起了攻击,包括ZDNet在内的不少科技媒体都被此事件震惊,纷纷跟进报道……
大数据文摘
2019/12/02
9760
物联网安全漏洞案例研究与解决方案
随着物联网技术的不断推进,基于物联网的设备在我们的生活中越来越普及,但同时设备漏洞也成为了很大的隐患。
天钧
2019/11/25
2.6K0
2023年全球汽车网络安全报告(一)
网联汽车和电动汽车,加上丰富的数字体验和数据驱动的应用程序,将汽车行业转变为充满活力的智能出行生态系统,具有增强的驾驶体验和功能,引入了新的盈利机会。然而,随着这一转型,出现了亟需解决的新的网络安全风险——过去十年间网络攻击的规模、频率和复杂程度呈指数级增长就很好地诠释了这一点。
绿盟科技研究通讯
2023/08/31
1.4K0
2023年全球汽车网络安全报告(一)
FreeBuf 周报 | 丰田服务商泄露用户信息长达一年半;Twitter 源代码泄露
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. Pwn2Own 2023 落幕,冠军斩获超 50 万美元奖金 冠军队伍花落 Synacktiv,以绝对优势斩获 53 万美元奖金和 53 个 Master of Pwn 积分,还获赠了一辆特斯拉 Model 3。 2. 黑暗势力:新兴勒索软件团伙在不到一个月内勒索了 10 个目标 一个新生的勒索软件团伙突然出现在舞台上,
FB客服
2023/04/04
5180
FreeBuf 周报 | 丰田服务商泄露用户信息长达一年半;Twitter 源代码泄露
Tesla的新纪元:数据分析+创新研发
数据分析与我们的生活越来越密切相关,且不提铺天盖地的大数据吹捧潮,就连央视报道,近来也开始用数据说话了。数据分析的商业价值到底在哪里?改善质量也好,降低成本也好,发现新客户也好,都是锦上添花。生存困境中的人,是不会有艺术创作的闲情雅致的,这或许解释了为什么大多数中国制造业企业谈起数据分析来都是雷声大雨点小。 实际上,数据分析的价值远远不只是改善。Tesla,来自加州的一个初创企业,将大量数据分析运用创新与研发中,不仅仅解决了自身的生存问题,更为人类开创了一个新纪元。 Tesla开创的新纪元 全球汽车业巨
大数据文摘
2018/05/22
8880
节后上班第一天,我们为无心上班的你准备了一些硬科技“谈资”
国庆期间你都错过了啥?赶紧过来瞧瞧。 躲过了人挤人的各大景点,也躲过了鹿晗和关晓彤的一波狗粮,终究还是躲不过节后的第一天上班,心累~相信今天有些朋友是顶着黑眼圈上班的,因为昨晚失眠了…… 既然如此,无
镁客网
2018/05/30
5740
网络安全是智能汽车下一个要卷的方向?
2023年,我国汽车市场爆发「最强价格战」,燃油车的市场空间不断被挤压,如今只剩下最后一口气。近日乘联会发布4月1-14日最新数据,新能源(智能)汽车渗透率首次突破50%,两者地位不知不觉间已经逆转。
FB客服
2024/04/30
2050
网络安全是智能汽车下一个要卷的方向?
【每日要闻】黄牛诉苦苹果iPhone 14倒贴100元出;新固态锂金属电池3分钟充满电
1、黄牛诉苦苹果iPhone 14倒贴100元出,但iPhone 14Pro Max仍加价600元 2、为平息美国立法者担忧,海外版抖音TikTok CEO周受资被限权,无缘大部分决策 3、零跑汽车向港交所递交上市申请,未来3年将推出7款车型 4、全球首款“北斗量子手机”发布,支持 4G/5G/北斗短报文自适应量子加密通信 5、机构:十年内4G仍将是主导技术,预计2030年4G仍占物联网蜂窝连接设备的49% 6、网约车巨头Uber再遭黑客攻击!恰逢上次重大攻击案开始审判 7、特斯拉得州工厂Model Y累计
镁客网
2022/09/19
5450
【每日要闻】黄牛诉苦苹果iPhone 14倒贴100元出;新固态锂金属电池3分钟充满电
过去10年100款最酷科技产品:苹果iPhone 4、亚马逊ECHO、苹果MacBook Air荣登前三
21世纪10年代的科技故事是一个“小玩意”一直从我们生活的各个角落流向世界各地的故事。现在,创造和消费文化的工具无处不在,为我们提供了令人难以置信的新功能,但同时也要求我们对它们的关心胜过历史上任何消费产品。我们在意它们喜怒无常的电池,我们在太空中扭曲以改善它们的无线信号,我们要求它们倾听我们的声音——但不要太多。
新智元
2019/12/18
9790
黑客技术哪家强?来认识一下这六位百万美元黑客大佬
你想成为百万美元黑客吗?对于大多数起步从事网络安全行业的人来说,他们认为要在黑客这个行当赚取百万美元,可能需要冒着被抓坐牢的风险才行。
FB客服
2019/09/09
1.3K0
黑客技术哪家强?来认识一下这六位百万美元黑客大佬
推荐阅读
相关推荐
直击Pwn2Own 2023:有黑客喜提两辆Model 3,斩获25万美金
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档