第一届Pwn2Own Automotive汽车安全漏洞竞赛即将开赛

全球车用安全领导厂商VicOne今天宣布该公司将共同举办2024年第一届Pwn2Own Automotive汽车安全漏洞竞赛，这是全球第一个专门发掘及解决联网汽车技术漏洞的比赛。Tesla将担任本届Pwn2Own Automotive的主要赞助商。除此之外，美国充电桩设备商龙头ChargePoint也将是Pwn2Own大赛的赞助商，为竞赛的充电器组提供技术指导与硬件支持。

Pwn2Own Automotive预定于2024年1月24至26日在日本东京Automotive World全球汽车技术展览会上举行。参赛者将有机会在各种考验其中角逐超过1百万美元的奖金及奖品，考题将以VicOne对汽车系统与相关数字基础架构的专业知识以及Zero Day Initiative(ZDI)平台为基础。趋势科技的ZDI所披露及管理的漏洞数量独步全球，是全球最大的非限定厂商独立漏洞悬赏计划。

“若没有VicOne，就不会有Pwn2Own Automotive汽车安全漏洞竞赛诞生。”趋势科技威胁研究副总裁Brian Gorenc表示：“VicOne提供了有关联网汽车组件真实威胁与可攻击面的专业知识和扎实洞见，并知道如何将这些资讯披露给安全研究人员，让他们能务实地解决这些问题。VicOne在这方面拥有无可匹敌的经验，是我们能在汽车产业享誉盛名的关键，展现了我们正在通过真实的研究解决真实的问题，而非只是耍弄一些商业价值有限的黑客特技。”

竞赛类别

攻击目标Tesla

针对Tesla Model 3/Y或Tesla Model S/X的Ryzen处理器桌面车用计算机单元破解竞赛。优胜者将有机会赢得高达20万美元的奖金与一部电动汽车。

车载资讯娱乐(IVI)系统

IVI是黑客的热门攻击目标，现场将提供三台IVI设备作为攻击目标：Sony XAV-AX5500、Alpine Halo9 iLX-F509、Pioneer DMH-WT7600NEX。

电动汽车充电器

移动设备应用程序、低功耗蓝牙(BLE)连接，以及OCPP通信协议都让黑客有机会对电动汽车造成损害。现场将提供六款电动汽车充电器供比赛使用：ChargePoint Home Flex、Phoenix Contact CHARX SEC-3100、EMPORIA EV Charger(图片) Level 2、JuiceBox 40 Smart EV Charging Station with WiFi、Autel MaxiCharger AC Wallbox Commercial (MAXI US AC W12-L-4G)、Ubiquiti Connect EV Station。

操作系统

参赛者必须试图攻击Automotive Grade Linux、Blackberry QNX及Android Automotive OS等操作系统的漏洞。针对Automotive Grade Linux目标的参赛者，如果利用了BlueZ、oFono和ConnMan子系统的漏洞，则可以获得额外的10,000美元奖金。

Pwn2Own Automotive共分成四大竞赛类别：Tesla、车载资讯娱乐(IVI)系统、电动汽车充电器，以及操作系统。每个组别都有要完成的目标，参赛者在线上报名过程中请告知欲参赛的类别。所有参赛作品必须侵入设备并示范在设备上得以执行任意代码。

VicOne首席执行官郑奕立指出：“我们非常高兴Tesla能够在Pwn2Own Automotive担任主要赞助商。作为车用安全厂商VicOne希望领衔鼓励扎实研究以解决真实世界的汽车安全威胁，此次与ZDI的合作，更展现了VicOne在发掘联网汽车漏洞以防范未来攻击的领先地位。这样的活动对于协助全球汽车产业预测及防范不断演进的威胁情势至关重要。”

比赛报名截止日期为：2024年1月18日，报名时须缴交一份白皮书详细说明漏洞攻击的程序及执行步骤。本竞赛开放远程参赛，建议最晚要在截止日期至少两个星期之前与主办单位联系。