Pwn2Own, arriva la categoria automotive: in palio 900 mila dollari e una Tesla Model 3

Da oltre dieci anni Pwn2Own è il principale concorso di sicurezza informatica, famoso per i suoi premi in denaro per coloro i quali individuano vulnerabilità chiave capaci di compromettere la sicurezza di ogni genere di dispositivo o software. Giunge quest'anno alla tredicesima edizione e aggiunge una nuova categoria: accanto a browser, smartphone, macchine virtuali gli hacker etici e i ricercatori di sicurezza potranno competere nella categoria "Automotive". Per questa edizione l'unico campo di confronto sarà una Tesla Model 3, con un montepremi di oltre 900 mila dollari oltre ad una Tesla Model 3 come premio per il primo classificato.

Il premio più sostanzioso sarà di 250 mila dollari per chi riesce a individuare una vulnerabilità nel gateway dell'automobile, nell'autopilot o nel VCSEC. Il gateway è l'hub centrale che interconnette i vari sistemi dell'automobile ed elabora le informazioni da loro inviate. L'autopilot, autoesplicativo, è la funzionalità di assistenza alla guida che aiuta a mantenere la corsia, a parcheggiare e a compiere altre operazioni di guida. Il Vehicle Controller Secondary o VCSEC è invece il sistema che gestisce le funzioni di sicurezza, incluso l'antifurto. Queste tre aree sono anche le più critiche di un'automobile Telsa, motivo per cui viene offerta una ricompensa così elevata per chi dovesse riuscire a trovare una vulnerabilità.

100 mila dollari sono invece messi in palio per chi compromette il telecomando di Tesla o la funzione Phone-as-Key sia tramite esecuzione di codice oppure sbloccando il veicolo o avviando il motore senza usare la chiave. Altri 100 mila dollari sono il premio per chi riesce a violare il Controller Area Network dell'automobile, che permette ai microcontrollori e agli attuatori di comunicare tra loro.

Chi dovesse invece riuscire a compromettere il sistema di infotainment dell'automobile, in particolare uscendo dall'ambiente sandbox o scalando privilegi per ottenere l'accesso di root al kernel del sistema operativo potrà vincere 85 mila dollari. Qualsiasi altra violazione del sistema di infotainment varrà invece un premio di 35 mila dollari.

Un premio di 60 mila dollari è messo in palio per la violazione dei sistemi WiFi o Bluetooth, mentre altri 50 mila dollari saranno riconosciuti ad una violazione capace di ottenere persistenza, cioè mantenere l'accesso di root anche a seguito di un riavvio dei sistemi.

Infine, oltre ai premi in denaro, il vincitore del primo round della categoria Automotive potrà entrare in possesso proprio di un'automobile Tesla Model 3.

Pwn2Own è un evento che ha luogo una volta all'anno ed è sponsorizzato dalla Zero Day Initiative di Trend Micro. Nel corso degli anni è riuscito ad attirare molto interesse poiché offre quell'incentivo monetario che spinge effettivamente gli hacker etici a portare a galla vulnerabilità che altrimenti resterebbero magari conosciute ma mai notificate. Spesso vulnerabilità di questa portata vengono notificate in privato nei programmi di bug bounty o vendute privatamente ai cosiddetti "exploit broker".

L'evento avrà luogo dal 20 al 22 marzo in occasione della conferenza CanSecWest di Vancouver. A questa pagina è possibile trovare tutti i dettagli dell'evento nonché le altre categorie del concorso con i rispettivi premi.