1月24日，Pwn2Own Automotive 2024黑客大赛在日本东京拉开帷幕，首日便吸引了全球顶尖安全研究人员的参与。本次比赛专注于汽车网络安全，目标包括特斯拉车载信息娱乐系统（IVI）、电动汽车充电器以及汽车操作系统等。

在首日的比赛中，Synacktiv团队表现尤为突出，他们成功利用三个零日漏洞，获得了特斯拉汽车调制解调器的root权限，赢得了10万美元的奖金。此外，该团队还利用独特的漏洞链攻击了Ubiquiti Connect和JuiceBox 40智能电动车充电站，额外获得了12万美元的奖励。不仅如此，他们还入侵了ChargePoint Home Flex电动汽车充电器，再次获得1.6万美元奖金，首日总计收获29.5万美元。

NCC Group EDG团队也不甘示弱，他们利用零日漏洞入侵了Pioneer DMH-WT7600NEX信息娱乐系统和Phoenix Contact CHARX SEC-3100电动汽车充电器，赢得了7万美元的奖金，位列排行榜第二。

本次比赛的焦点之一是特斯拉汽车的多个系统，包括车载信息娱乐系统、调制解调器、无线模块和自动驾驶系统等。研究人员通过复杂的漏洞链攻击，展示了这些系统在面对高级攻击时的脆弱性。比赛结束后，相关供应商将有90天的时间来开发和发布安全修复程序，以应对这些被曝光的零日漏洞。

Pwn2Own Automotive 2024不仅展示了汽车技术领域的安全隐患，也推动了行业对网络安全的重视。随着智能汽车和车联网技术的快速发展，网络安全问题愈发凸显。通过此类比赛，研究人员能够发现并修复潜在漏洞，为汽车行业的发展提供安全保障。

资讯来源：bleepingcomputer

转载请注明出处和本文链接

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！