Güvenlik araştırmacıları, Tokyo’da düzenlenen Pwn2Own Automotive 2024 yarışmasının ilk gününde Tesla aracının modeminde bir zafiyet keşfederek toplamda 722.500 dolarlık ödül kazandı. WhiteHat Hacker’lar tarafından sıfır gün (zero-day) olarak adlandırılan tam 24 yeni güvenlik açığı keşfedildi.
Synacktiv ekibi, Tesla aracının modemine root erişimi elde etmek için 3 sıfır gün güvenlik açığı birleştirerek 100.000 dolar kazandı. Bu, güvenlik araştırmacıların cihaz üzerinde tam kontrol elde etmelerine ve sistemin ihlal edilebilirliğini göstermelerine olanak tanıdı.
Synacktiv, Ubiquiti Connect Home şarj istasyonu ve JuiceBox 40 Smart Home şarj cihazı için iki benzersiz güvenlik açığı zincirini kullanarak ek 120.000 dolar kazandı. Bu saldırılar aynı zamanda elektrikli araçlar için popüler şarj cihazı modellerinde ciddi güvenlik sorunlarını da gösterdi.
ChargePoint Home Flex Home şarj cihazını hedef alan başka bir exploit zinciri zaten biliniyordu, ancak yine de ekip için 16.000 dolar daha kazandırdı. Toplamda, Synacktiv ekibi ilk gününde 295.000 dolar ödül kazandı.
Güvenlik araştırmacıları ayrıca, diğer üreticilerin tamamen güncellenmiş elektrikli araç şarj istasyonları ve multimedya sistemlerini başarıyla hacklediler. Örneğin, NCC Group EDG ekibi, Pioneer DMH-WT7600NEX multimedya sistemi ve Phoenix Contact CHARX SEC-3100 Home şarj cihazını hacklemek için sıfır gün güvenlik açıklarını kullanarak 70.000 dolar kazandı ve turnuva sıralamasında ikinci oldu.
Pwn2Own’ın ilk gününün sonuçları, elektrikli araç alanındaki modern yazılım ve donanımların dahi ciddi güvenlik açıklarına sahip olduğunu gösteriyor. Bununla birlikte, bu tür zafiyetlerin zamanında tespiti ve düzeltilmesi mümkündür, yeter ki onlarca hacker bir araya getirilsin ve belirli bir hedef konulsun.
Pwn2Own’da gösterilen exploitlerin ardından üreticilere, Trend Micro şirketinin Zero Day Initiative kapsamında keşfedilen zafiyetlerin detaylarının halka açıklanmadan önce 90 gün içinde güvenlik düzeltmeleri yapmaları için süre verildi.
Pwn2Own Automotive 2024 bu hafta Tokyo’da, Automotive World konferansı kapsamında gerçekleşiyor. Güvenlik araştırmacıları, yarışma süresince çeşitli otomotiv teknolojilerini, multimedya sistemlerini, otomobil işletim sistemlerini, şarj istasyonlarını ve benzerlerini hedef alacaklar.
Birinci ödül, VCSEC, gateway veya otonom sürüş sistemlerinde sıfır gün zafiyetlerinin gösterilmesi durumunda verilecek 200.000 dolarlık bir ödül ve bir Tesla Model 3 araç.
Geçen yıl, Pwn2Own Vancouver 2023 yarışmasında, güvenlik araştırmacıları toplamda 27 sıfır gün zafiyeti ve birkaç ek exploit zinciri göstererek 1.035.000 dolarlık ödül ve bir Tesla Model 3 aracı kazandı.