想必您也好奇Pwn2Own Automotive的戰況吧? 附上今天各競賽類別的攻擊隊伍數量以及他們的挑戰結果:
1. Tesla這次再度被2023年同一隊伍”Synacktiv”挑戰成功。
2. 第一天大部分的攻擊都是在IVI車載資訊娛樂系統以及電動車充電器這兩個類別,原因不外乎這兩個系統的安全措施比較低,攻擊相對容易。特斯拉的攻擊是眾所週知困難度最高的,作業系統次之。
3. 在電動車充電器的攻擊中可以看到出現3個bug collision, 表示3組參賽者在ChargePoint的產品Home Flex上都找到相同的漏洞,我們可以解讀為在這個裝置上存在相當容易被找到的漏洞。
4. 作業系統Automotive Grade Linux的攻擊結果是N-day (表示是曾經被揭露過的漏洞)。在這次比賽中還是重複出現時,原因可能是這個漏洞並沒有完全修補完成,導致類似的攻擊路徑依然可以發揮作用,或者是他們使用的攻擊鏈當中有已知的漏洞。這種在獎金跟積分上會根據使用已知漏洞的比例打折扣。
看完第一天的戰況有沒有感覺很熱血澎湃呢? 除了比賽之外我們也在會場分享對車用資安現況的分享,並且還有針對電動車充電器與遠端駭入的實際demo。
VicOne 除了持續針對連網汽車提供面向未來且符規的車用資安產品與服務、致力透過真實的研究來解決真實的問題,更希望透過競賽的方式邀請各路好手來共同發掘汽車網路中的漏洞,以推動相關技術發展。
車載娛樂系統以及電動車充電設備是攻擊參與組數最多的兩個類別!
沒有留言:
張貼留言