Pwn2Own Automotive

Se dieron a conocer hace poco los resultados el primer evento del Pwn2Own Automotive, celebrado durante tres días en la conferencia Automotive World en Tokio y en el cual se revelaron un total de 49 vulnerabilidades previamente desconocidas en las plataformas de información y entretenimiento para automóviles, sistemas operativos y dispositivos de carga de vehículos eléctricos.

En el Pwn2Own Automotive 2024 se ofrecieron recompensas para las vulnerabilidades en las categorías compuestas por: tesla, Infoentretenimiento en el vehículo (IVI), Cargadores de vehículos eléctricos y sistemas operativos. Cada categoría tiene un conjunto de objetivos que el concursante puede seleccionar durante el proceso de registro. Todas las entradas deben comprometer el dispositivo y demostrar la ejecución de código arbitrario en el dispositivo.

Los ataques se llevaron a cabo utilizando el firmware y los sistemas operativos más recientes, con todas las actualizaciones disponibles y en la configuración predeterminada.

El monto total de la remuneración superó los 1.3 millones de dólares estadounidenses, con el equipo Synacktiv liderando con ganancias de 450 mil dólares. Los ganadores del segundo lugar (fuzzware.io) recibieron $177,500 y los del tercer lugar (Midnight Blue) $80,000.

Durante la competición, se demostraron varios ataques, entre ellos:

• Dos hacks de un entorno basado en la distribución Automotive Grade Linux, los cuales fueron recompensados con $47,500 y  $35,000. Dos participantes cancelaron sus solicitudes para realizar ataques al cargador EMPORIA EV Charger Nivel 2 y a la plataforma Automotive Grade Linux.
• Se demostró el hackeo del sistema de información y entretenimiento de un coche Tesla, el cual fue recompensado con $100,000 dólares por exploit que implica una cadena de dos errores.
• Hackeo de un módem utilizado en un coche Tesla con una recompensa de $100,000 dólares por exploit que implica una cadena de tres errores.
• Cinco hacks de un sistema de información y entretenimiento basado en la plataforma Sony XAV-AX5500 recompensados con $40,000, $20,000, $20,000, $20,000 y $10,000
• Hackeo del un sistema de información y entretenimiento basado en la plataforma Pioneer DMH-WT7600NEX ($40,000 dólares por exploit que implica una cadena de tres errores).
• Seis hacks a un sistema de información y entretenimiento basado en la plataforma Alpine Halo9 iLX-F509 ($40,000 por el exploit de memoria ya liberado, $20,000 por la vulnerabilidad de sustitución de comandos, $20,000 por la vulnerabilidad de desbordamiento del búfer, $20,000 por el exploit que implica una cadena de dos errores, $20,000 por exploit que implique una cadena de dos errores, $10,000 dólares por exploit que implique una cadena de dos errores).
• Dos hacks de la estación de carga Ubiquiti Connect EV Station ($60,000 y $30,000 por exploits que involucran una cadena de dos errores).
• Tres hacks a la estación de carga CHARX SEC-3100 de Phoenix Contact ($60,000 dólares por un exploit que implica una cadena de dos errores, $30,000 dólares por una vulnerabilidad asociada con una verificación insuficiente de los datos de entrada, $30,000 dólares por un exploit que implica una cadena de tres errores, $22,500 dólares por un exploit que involucra una cadena de dos errores, $26,250 por un exploit que involucra una cadena de cuatro errores).
• Hackear la estación de carga EMPORIA EV Charger Nivel 2 ($60,000 por un exploit que involucra un desbordamiento del buffer).
• Cuatro hacks a la estación de carga JuiceBox 40 Smart EV ($60,000 dólares por un exploit que involucra una cadena de dos errores, $30,000 dólares por desbordamiento del búfer, $30,000 dólares por desbordamiento del búfer, $15,000 dólares).
• Siete hacks en la estación de carga ChargePoint Home Flex, que permiten ejecutar código en el nivel de firmware del dispositivo ($60,000, $30,000, $30,000, $16,000, $16,000, $16,000, $5000).
• Tres hacks de la estación de carga comercial Autel MaxiCharger AC Wallbox ($30,000 por un exploit de desbordamiento de pila, $30,000 por un exploit de cadena de dos errores y $22,500 por un exploit de cadena de dos errores).
• Diez intentos de hackeo de dispositivos entre los cuales se destaca: Sony, Phoenix, Contact, Pioneer, Alpine entre otros, los cuales fallaron.

Es importante destacar que la información detallada sobre todas las vulnerabilidades del tipo zero day demostradas se publicará después de 90 días, dando a los fabricantes tiempo para preparar actualizaciones que corrijan estas vulnerabilidades, de acuerdo con los términos del concurso.

Finalmente si estas interesado en poder conocer más al respecto, puedes consultar el siguiente enlace en donde encontraras mayor información sobre la actividad en los tres días del Pwn2Own Automotive.