Pwn2Own Automotive 2024: 1,3 triệu USD trao thưởng cho 49 lỗ hổng bảo mật, Tesla bị hack “tơi bời”

Pwn2Own là cuộc thi hack được tổ chức hàng năm trong khuôn khổ hội nghị bảo mật CanSecWest bắt đầu từ năm 2007. Đây là dịp để các thí sinh và chuyên gia an ninh mạng thể hiện kỹ năng của họ trong việc tìm kiếm lỗi, khai thác lỗ hổng zero-day và hàng loạt vấn đề khác. Những người tham gia sẽ thoải mái bẻ khóa hợp pháp vào các phần mềm và thiết bị được sử dụng rộng rãi trên thị trường, với những lỗ hổng chưa từng biết đến trước đó. Đổi lại là phần thưởng vật chất cũng như sự vinh danh từ cộng đồng.

Với xu hướng phát triển nhanh chóng của lĩnh vực xe điện, 2024 là năm đầu tiên một sự kiện Pwn2Own tách riêng cho mảng ô tô được tổ chức tại Tokyo, Nhật Bản. Sau hai ngày diễn ra sự kiện, từ 24 đến 26 tháng 1, Pwn2Own Automotive đã kết thúc với tổng cộng 49 lỗi zero-day được tìm thấy trong nhiều hệ thống ô tô điện, tương đương 1.323.750 USD tiền thưởng đã được trao. Các lỗ hổng chủ yếu được tìm thấy trong bộ sạc, hệ thống thông tin giải trí và hệ điều hành của ô tô, và đa số đều được cam kết phát hành bản vá đầy đủ.

Sau khi lỗ hổng zero-day bị khai thác và báo cáo cho các nhà cung cấp trong Pwn2Own, họ có 90 ngày để phát hành các bản vá bảo mật trước khi Trend Micro - đơn vị tổ chức sự kiện - tiết lộ chúng công khai.

Đơn vị giành chiến thắng tại Pwn2Own Automotive năm nay đã thuộc về Team Synacktiv với 450.000 USD tiền thưởng, tiếp theo là fuzzware.io với 177.500 USD và Midnight Blue/PHP Hooligans với 80.000 USD. Đây đều là những nhóm hacker tài năng, thường xuyên góp mặt tại các mùa Pwn2Own thường niên.

Đáng chú ý, Synacktiv đã hack thành công chiếc xe Tesla hai lần, giành được quyền root trên Modem Tesla bằng cách xâu chuỗi ba lỗ hổng trong ngày đầu tiên và thử nghiệm lối thoát sandbox của Tesla Infotainment System thông qua chuỗi khai thác zero-day trong ngày thứ hai.

Nhóm cũng đã demo thành công hai chuỗi lỗi độc đáo phát hiện trong các hệ thống trạm sạc xe điện thông minh Ubiquiti Connect EV Station và JuiceBox 40 Smart EV Charging Station, cũng như khai thác ba lỗi nhắm vào hệ điều hành Linux dành cho ô tô.

Trước đó vào năm 2023, Synactiv cũng là đội ngũ “thống trị” sự kiện Pwn2Own tổ chức tại Vancouver vào tháng 3, kiếm được 530.000 USD và một chiếc Tesla cho hai chuỗi khai thác nhắm mục tiêu vào Root Gateway và Infotainment Unconfined Root.

Vào tháng 10, tại Pwn2Own Toronto 2023, nhóm đã giành được hơn 1 triệu USD nhờ 58 lần khai thác zero-day và nhiều lỗ hổng khác nhắm vào các sản phẩm tiêu dùng, bao gồm điện thoại thông minh Samsung Galaxy S23, nhiều mẫu máy in, hệ thống giám sát và thiết bị lưu trữ gắn mạng (NAS).

Pwn2Own Vancouver 2024 sắp tới dự kiến sẽ diễn ra bắt đầu từ ngày 20 tháng 3 trong khuôn khổ Hội nghị CanSecWest 2024. Sự kiện năm nay sẽ có tổng giải thưởng lên tới hơn 1.000.000 USD cho việc khai thác các danh mục phần mềm và hệ thống ô tô khác nhau được tìm thấy trong xe Tesla Model 3 và Model S.