特斯拉汽车被“重点关照”，Pwn2Own Automotive 2024 首日战报：演示 24 个零日漏洞

IT之家 1 月 25 日消息，Pwn2Own Automotive 2024 黑客大赛于 1 月 24-26 日在日本东京举行，主要围绕着汽车安全展开，首日已放出 72.25 万美元（当前约 517.3 万元人民币）奖金。

Synacktiv 团队成功利用三个零日漏洞，获得了特斯拉汽车调制解调器的 root 权限，收获了 10 万美元奖励。

该团队还利用特殊的 two-bug chains 攻击链，入侵了一个 Ubiquiti Connect 电动车充电站和一个 JuiceBox 40 智能电动车充电站，额外获得了 12 万美元。

该团队还利用漏洞链，攻击了 ChargePoint Home Flex 电动汽车充电器，获得了 1.6 万美元奖金，该团队首日收获 29.5 万美元。

NCC Group EDG 团队利用零漏洞入侵了 Pioneer DMH-WT7600NEX 信息娱乐系统和 Phoenix Contact CHARX SEC-3100 电动汽车充电器，赢得了 7 万美元的奖金，排名第二。

零日漏洞在 Pwn2Own 比赛期间被利用和报告后，供应商有 90 天的时间开发和发布安全修复程序，然后趋势科技的零日计划才会公开披露这些修复程序。

本次比赛中，安全研究人员能攻击特斯拉车载信息娱乐 (IVI) 系统、电动汽车 (EV) 充电器和汽车操作系统（即汽车级 Linux、黑莓 QNX、安卓汽车操作系统），此外还会演示针对信息娱乐系统、调制解调器、调谐器、无线和自动驾驶系统的漏洞利用情况。

本次比赛最高强力包括 VCSEC 等，奖金为 20 万美元（IT之家备注：当前约 143.2 万元人民币）和一辆特斯拉汽车，IT 附上赛事日程链接，感兴趣的用户可以深入阅读。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。