¡Concéntrese en la seguridad del código fuente y recopile la información más reciente en el país y en el extranjero!
Compilado por: Guardia de código
ZDI organizará la primera competencia Pwn2Own centrada en sistemas automotrices en el Congreso Automotriz Global en Tokio, Japón, del 24 al 26 de enero de 2024. ZDI anunció hoy los objetivos del concurso y los premios en metálico. Los tres objetivos principales del concurso incluyen:
1. Proporcionar un lugar para fomentar la investigación en automoción. Los investigadores pueden enviar informes de vulnerabilidad sobre una variedad de productos y plataformas y recibir recompensas financieras.
2. Incentivar a los fabricantes para que participen en la comunidad de investigación de seguridad. Conectar a la comunidad global de investigadores de seguridad con fabricantes de automóviles para mejorar la seguridad y la resiliencia de los vehículos.
3. Centrarse en los subcomponentes del automóvil. Espero que todos se centren en los complejos sistemas que componen el ecosistema automovilístico moderno, en lugar del coche como una microcomputadora de un solo chip.
Tesla es socio del concurso, ChargePoint proporcionará las pilas de carga para vehículos eléctricos utilizadas en el concurso, los investigadores de VicOne ayudarán a determinar la superficie de ataque del objetivo para los vehículos eléctricos y proporcionarán orientación técnica. El dinero en efectivo y el fondo de recompensas para este concurso finaliza en 1 millón de dólares. Esta competencia permite la participación remota. Los jugadores deben registrarse antes del 18 de enero de 2024 y proporcionar un documento técnico que explique la cadena de utilización y cómo operarla al final del registro. Al igual que en concursos anteriores, el concurso determinará el orden de las inscripciones mediante sorteo.
El concurso se divide en cuatro categorías:
tesla
Sistema de entretenimiento a bordo (IVI)
Pila de carga de vehículos eléctricos
Sistema operativo
Categoría Tesla
En 2019, el concurso Pwn2Own introdujo una categoría de automóvil por primera vez, y este concurso de automóviles Pwn2Own cubrirá contenido similar. Los participantes se registran para dispositivos de escritorio equivalentes a Tesla Model 3/Y (basado en Ryzen) o Tesla S/X (basado en Ryzen). También es importante tener en cuenta que, si bien un Tesla es uno de los premios, no todos los intentos exitosos ganarán un Tesla. Si bien algunos objetivos ofrecen opciones adicionales, para conducir un Tesla, los concursantes deberán apuntar a la categoría de objetivo "Vehículo incluido" en la tabla.
A continuación se incluye información adicional sobre los extras opcionales incluidos en el objetivo.
Los jugadores que planeen participar en esta categoría deberán notificar a ZDI dos semanas antes de la competencia para coordinar los recursos de hardware.
Categoría de infoentretenimiento en el vehículo (IVI)
Al mirar objetos en el sistema de un automóvil, lo primero que viene a la mente es el sistema de información y entretenimiento del vehículo (IVI), que puede actuar como una radio y conectarse a su teléfono, pero también puede hacer mucho más. La navegación, Internet en el vehículo y WiFi se proporcionan a través de estos dispositivos, que también pueden conectarse a otros sistemas del vehículo a través del bus CAN, lo que convierte a IVI en un objetivo para los atacantes. Estos dispositivos también modifican los vehículos existentes para que tengan capacidades modernas y posiblemente vulnerabilidades modernas. Esta competencia de automóviles Pwn2Own proporcionará tres IVI como dispositivos objetivo. Los intentos en esta categoría deben apuntar a servicios expuestos o protocolos de comunicaciones/interfaces físicas accesibles a los usuarios comunes.
Categorías de pilas de carga eléctrica
Si bien hay mucha investigación sobre los vehículos eléctricos, no se puede decir lo mismo de la revisión de los que conectamos. Las superficies de ataque, como aplicaciones móviles, conexiones BLE y protocolos OCPP, pueden permitir que los actores de amenazas causen daños a los vehículos eléctricos. Este concurso proporcionará seis pilas de carga de vehículos eléctricos diferentes. Los intentos de ataque deben apuntar a los servicios expuestos del objetivo o a los protocolos de comunicación/interfaces físicas del objetivo que sean accesibles para los usuarios comunes.
Sistema operativo
La mayoría de la gente no piensa en los sistemas operativos de sus automóviles, pero si conduce un Mercedes-Benz, Subaru, Mazda o Toyota lanzado recientemente, es muy probable que estos vehículos tengan instalado un sistema Linux de grado automotriz. ¿Cómo se comparan estos sistemas operativos en línea con los sistemas operativos de escritorio? Esto es lo que la competencia está a punto de descubrir. Los intentos en esta categoría deben apuntar a servicios/características expuestas o protocolos de comunicación accesibles a los usuarios comunes.
Se pueden encontrar más detalles en el artículo original.
Dirección de prueba de Code Guard: https://codesafe.qianxin.com
Dirección de prueba de guardia de código abierto: https://oss.qianxin.com
Lectura recomendada
Se publican los objetivos y premios del concurso Pwn2Own 2023 de Toronto
Mikrotik finalmente soluciona la vulnerabilidad de RouterOS en el concurso Pwn2Own
VMware soluciona dos días 0 graves detectados en el concurso Pwn2Own
Concluye la competencia Pwn2Own 2023 de Vancouver, nace Master of Pwn
Nace Pwn2Own 2023 Miami Competition Master of Pwn
Enlace original
https://www.zerodayinitiative.com/blog/2023/8/28/revealing-the-targets-and-rules-for-the-first-pwn2own-automotive
Imagen del título: Licencia Pixabay
Este artículo fue compilado por Qi Anxin y no representa las opiniones de Qi Anxin. Indique "Reimpreso de Qianxin Code Guard https://codesafe.qianxin.com" al reimprimir.
Guardia de código Qi'anxin (código seguro)
La primera línea de productos nacionales centrada en la seguridad del desarrollo de software.
Si crees que es bueno, simplemente haz clic en "Buscar" o "Me gusta" ~