Pwn2Own Automotive: 49 falle zero-day per sistemi di ricarica e infotainment e Tesla violata 2 volte

La prima edizione dell'iniziativa Pwn2Own Automotive, organizzata dalla Zero Day Initiative di Trend Micro a Tokyo, si è conclusa con la dimostrazione di ben 49 falle zero-day in vari sistemi di bordo di automobili elettriche nonché nella violazione per ben due volte di un'automobile Tesla.

Per quanto riguarda le vulnerabilità zero-day, queste vengono dimostrate dinnanzi ai produttori interessati durante la manifestazione Pwn2Own, i quali hanno 90 giorni di tempo per rilasciare le opportune patch di sicurezza prima che sia la Zero Day Initiative a pubblicare i dettagli della vulnerabilità e le modalità di sfruttamento.

Il team Synacktiv ha vinto la competizione, assicurandosi un premio di 450 mila dollari, davanti a fuzzware.io e Midnight Blue/PHP Hooligan: al secondo e al terzo classificato sono stati assegnati premi di 117 mila dollari e 80 mila dollari rispettivamente. Il concorso ha messo in palio un montepremi per un totale di oltre 1,3 milioni di dollari.

E' stato il team Synacktiv a violare per due volte un'automobile Tesla, riuscendo ad ottenere il primo giorno i permessi di root su un modem Tesla sfruttando tre vulnerabilità concatenate tra loro, mentre nel secondo giorno ha dato dimostrazione della possibilità di uscire dalla sandbox del sistema di infotainment usando una catena di exploit zero-day.

Durante la competizione i partecipanti hanno avuto la possibilità di testare la sicurezza di sistemi di infotainment di varie automobili, così come sistemi e stazioni di ricarica per veicoli elettrici.