تازه ها

امنیت

فناوری اطلاعات

January 28, 2024
13:36 یکشنبه، 8ام بهمنماه 1402
کد خبر: 159365

هکرها دو بار تسلا را شکستند و 1.3 میلیون دلار در Pwn2Own Automotive به دست آوردند

فروشندگان تسلا 90 روز فرصت دارند تا وصله های امنیتی را قبل از اینکه Trend Micro آن را به طور عمومی منتشر کند، منتشر کنند.

به گزارش پایگاه اطلاع‌سانی پلیس فتا، Pwn2Own Automotive 2024، یک مسابقه سه روزه که توسط Trend Micro’s Zero Day Initiative برگزار شده است.در این مسابقه رقبا برای دو بار هک کردن تسلا و کشف 49 باگ روز صفر در سیستم های برقی، 1,323,750 دلار کسب کردند.

تیم Synacktiv برنده این مسابقه شد و برای دو بار هک کردن یک خودروی تسلا، کسب مجوزهای روت و نشان دادن فرار از جعبه شنی در سیستم اطلاعات سرگرمی تسلا، 450000 دلار پول نقد دریافت کرد. آنها همچنین زنجیره های دو باگ را در برابر ایستگاه های Ubiquiti Connect و JuiceBox 40 Smart EV نشان دادند. دومین لیست، fuzzware.io با دریافت 177500 دلار بود. در جایگاه سوم Midnight Blue/PHP Hooligans با 80000 دلار جایزه قرار گرفتند.

شرکت کنندگان در روز اول بیش از 700000 دلار به دست آوردند که شامل 60000 دلار برای هک شارژر EV و 40000 دلار برای سیستم اطلاعات سرگرمی و هک مودم تسلا بود. روز دوم شاهد بودیم که اکسپلویت لینوکس Automotive Grade بیشترین پاداش 35000 دلاری را کسب کرد، در حالی که بهره برداری از شارژرهای برقی 30000 دلار به تیم ها رسید. در روز سوم، محققان 60000 دلار برای اکسپلویت شارژر Emporia EV و هر کدام 30000 دلار برای سایر اکسپلویت ها دریافت کردند که در نتیجه پرداخت هایی بین 20000 تا 26000 دلار بود.

در روز اول، محققان آسیب‌پذیری‌هایی را در مودم تسلا، سیستم‌های سرگرمی سونی و پخش‌کننده‌های صوتی خودرو آلپاین کشف کردند و مجموعاً ۷۲۲۵۰۰ دلار جایزه برای شناسایی سه برخورد با باگ و 24 سوء استفاده در روز صفر دریافت کردند.

تیم NCC Group EDG برنده 70000 دلار برای بهره برداری از اشکالات روز صفر برای هک شارژرهای Pioneer DMH-WT7600NEX و Phoenix Contact CHARX SEC-3100 EV شد. سینا خیرخواه، توبیاس شارنوفسکی و فلیکس بوخمن به ChargePoint Home Flex و Sony XAV-AX5500 حمله کردند و به ترتیب 60000 و 40000 دلار درآمد داشتند.

تیم Synacktiv با موفقیت از مودم Tesla و ایستگاه شارژ JuiceBox 40 Smart EV استفاده کرد، در حالی که تیم PCAutomotive از Alpine Halo9 iLX-F509 بهره برداری کرد.

در روز دوم، تیم Tortuga با موفقیت از یک باگ شناخته شده در زنجیره 2 باگ در برابر ChargePoint Home Flex سوء استفاده کرد و 5000 دلار و 3 امتیاز Master of Pwn به دست آورد. تیم Midnight Blue / PHP Hooligans همچنین از یک باگ شناخته شده در زنجیره 3 باگ برای سوء استفاده از Phoenix Contact CHARX SEC-3100 استفاده کرد و 30000 دلار و 6 امتیاز Master of Pwn به دست آورد.

PCAutomotive نتوانست از ایستگاه شارژ EV هوشمند JuiceBox 40 استفاده کند در حالی که Katsuhiko Sato با موفقیت به Sony XAV-AX5500 حمله کرد و 10000 دلار و 2 امتیاز Master of Pwn به دست آورد.

Computest Sector 7 با موفقیت ایستگاه شارژ EV هوشمند JuiceBox 40 را برای یک باگ شناخته شده هدف قرار داد و 15000 دلار و 3 Master of Pwn Point به دست آورد. سینا خیرخواه نتوانست از Autel MaxiCharger AC Wallbox Commercial استفاده کند، در حالی که Synacktiv و NCC Group EDG با موفقیت از سیستم Infotainment Tesla و Alpine Halo9 iLX-F509 با استفاده از زنجیره 2 اشکال بهره برداری کردند و به ترتیب 100000 دلار و 20 دلار درآمد داشتند.

Synacktiv با استفاده از زنجیره 3 باگ 35000 دلار و 5 امتیاز Master of Pwn به دست آورد، در حالی که Le Tran Hai Tung با استفاده از زنجیره 2 باگ 20000 دلار و 4 امتیاز Master of Pwn به دست آورد. سینا خیرخواه و الکس اولسون نتوانستند اکسپلویت های خود را به درستی انجام دهند، در حالی که fuzzware.io با استفاده از سرریز بافر مبتنی بر پشته، 30000 دلار و 6 امتیاز Master of Pwn به دست آورد. RET2 Systems همچنین 30000 دلار و 6 امتیاز Master of Pwn با استفاده از سرریز بافر مبتنی بر پشته به دست آورد.

در روز سوم، Computest Sector 7 از ChargePoint Home Flex بهره برداری کرد و 30000 دلار و 6 Master of Pwn Point با استفاده از یک زنجیره 2 باگ به دست آورد. Synacktiv با موفقیت از Sony XAV-AX5500 بهره برداری کرد و 20000 دلار و 4 امتیاز Master of Pwn به دست آورد. Katsuhiko Sato نتوانست از Pioneer DMH-WT7600NEX بهره برداری کند.

سینا خیرخواه به Ubiquiti Connect EV حمله کرد و 30000 دلار و 6 امتیاز Master of Pwn بدست آورد. fuzzware.io از Phoenix Contact CHARX SEC-3100 بهره برداری کرد و 22500 دلار و 4.5 امتیاز Master of Pwn به دست آورد.

کانر فورد از Nettitude از ایستگاه شارژ EV هوشمند JuiceBox 40 با استفاده از سرریز بافر مبتنی بر پشته استفاده کرد و 30000 دلار و 6 امتیاز Master of Pwn به دست آورد. تیم کلاک از Phoenix Contact CHARX SEC-3100 بهره برداری کرد و 26250 دلار و 5.25 امتیاز Master of Pwn به دست آورد.

بدین ترتیب فروشندگان تسلا 90 روز فرصت دارند تا وصله های امنیتی را قبل از اینکه Trend Micro آن را به طور عمومی منتشر کند، منتشر کنند.

در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.