網路資安威脅
Pwn2Own:研究人員揭露 76 個零時差漏洞,贏得 100 萬美元
深入了解 TrendAI Zero Day Initiative(ZDI)漏洞懸賞計畫,如何揭露連網車輛、電動車充電樁與汽車系統中的關鍵零時差漏洞。
Save to Folio
發掘連網汽車、電動車充電樁,以及車用系統的重大漏洞。
隨著連網汽車在全球不斷普及,汽車的資料防護變得比以往更加重要。不論是油車或電車,新的車輛都會發送和接收大量的資料,為製造商和客戶帶來了資料隱私和安全的疑慮。
TrendAI Zero Day Initiative™ (ZDI) 漏洞懸賞計畫向來是威脅研究的先驅,在連網汽車領域亦不例外。上週,TrendAI ZDI 在東京舉辦了 Pwn2Own Automotive 大賽,邀請來自世界各地的資安研究人員在世界最知名的駭客競賽當中較勁,負責任地展示並揭露漏洞攻擊手法與零時差漏洞。參賽者瞄準了各種連網汽車設備,包括:電動車充電樁、車用資訊娛樂系統、車用作業系統等等。
這場競賽共揭露了 76 個漏洞,而參賽者也獲得了 1,047,000 美元的獎金。Fuzzware.io 團隊摘下了最高榮譽「Master of Pwn」駭客大師頭銜,並贏得了 215,000 美元的獎金。
這場比賽是由 VicOne 與 TrendAI ZDI 所共同舉辦,並由 Tesla 贊助,同時也獲得了 Alpitronic 和 Open Charge Alliance 兩家合作夥伴的鼎力相助。
本次活動的其他重點包括:
- Synacktiv 團隊 (@synacktiv) 在 USB 攻擊項目中結合了兩項漏洞:資訊外洩與寫入超出邊界,成功駭入了 Tesla 的資訊娛樂系統。
- 此外,Synacktiv 團隊也完成了 Pwn2Own 的一項創舉,利用 NFC 搭配 Charging Connector Protocol/Signal Manipulation 充電連接器通訊協定/訊號操縱附加元件攻擊了 Autel MaxiCharger AC Elite Home 40A 家用充電樁。
- Fuzzware.io 團隊 (@ScepticCtf、@diff_fusion、@SeTcbPrivilege) 串連了兩個漏洞,在 Autel MaxiCharger AC Elite Home 40A 充電樁上執行程式碼並操縱 ChargePoint 訊號。
TrendAI 充分運用 Pwn2Own 揭露的資訊來預先保護客戶免於零時差漏洞攻擊,平均可比網路資安產業提早 71 天提供防護。
「主動式防護是我們能比任何其他資安廠商更快保護客戶和世界免於資安威脅的關鍵,TrendAI ZDI 是我們無可匹敵的威脅情報很重要的貢獻來源。連網資產正迅速成為數位世界不可或缺的一環,因此我們很榮幸能邀請資安專家們齊聚在 Pwn2Own 共同促進威脅研究的進步。」 — 趨勢科技企業事業群營運長 Rachel Jin