A Zero Day Initiative (ZDI) anunciou esta semana que oferecerá mais de US$ 1 milhão em dinheiro e prêmios no Pwn2Own Automotive, o primeiro concurso de hackers Pwn2Own focado em sistemas automotivos.
A competição será realizada na conferência Automotive World, marcada para 24 a 26 de janeiro de 2024, em Tóquio, Japão.
Os pesquisadores de segurança interessados têm até 18 de janeiro para se inscrever no concurso e enviar uma inscrição, que consiste em “um whitepaper detalhado explicando completamente sua cadeia de exploração e instruções sobre como executar a inscrição”. ZDI anunciou.
Tal como acontece com outros eventos semelhantes, a ZDI está permitindo a participação remota da Pwn2Own Automotive, com base no fato de que nem todos os pesquisadores poderão participar da conferência.
“Se você planeja participar remotamente, precisará entrar em contato conosco ainda mais cedo para garantir que o colocaremos na melhor posição para o sucesso. Recomendamos duas semanas antes do prazo, no máximo”, afirma ZDI.
O primeiro Pwn2Own Automotive terá quatro categorias, nomeadamente Tesla, infotainment no veículo (IVI), carregadores de veículos elétricos e sistemas operacionais.
Os competidores participantes da primeira categoria podem registrar “uma entrada para uma unidade de bancada equivalente ao Tesla Model 3/Y (baseado em Ryzen) ou Tesla Model S/X (baseado em Ryzen)”, diz ZDI.
O prêmio mais alto nesta categoria é de US$ 200.000, para explorações direcionadas ao piloto automático, gateway ou VCSEC do veículo, seguido por uma recompensa de US$ 100.000 para explorações de Ethernet direcionadas ao piloto automático e ao gateway. Um carro Tesla está disponível como prêmio adicional em ambos os casos.
Os pesquisadores também podem ganhar recompensas adicionais opcionais por explorações direcionadas ao barramento CAN, ou que podem alcançar persistência raiz no piloto automático ou no sistema de infoentretenimento do veículo.
Na segunda categoria, os competidores podem ganhar prêmios de US$ 40.000 por explorações direcionadas a três dispositivos IVI da Sony, Alpine e Pioneer.
Haverá seis dispositivos diferentes (de ChargePoint, Phoenix Contact, Emporia, JuiceBox, Autel e Ubiquiti) disponíveis como alvos na categoria de carregadores de veículos elétricos, com prêmios de até US$ 60.000 para explorações válidas.
Em ambas as categorias, as explorações devem ter como alvo os serviços expostos do dispositivo ou os protocolos de comunicação e interfaces físicas que um usuário típico pode acessar.
Na categoria de sistemas operacionais, os pesquisadores podem ganhar prêmios de US$ 50.000 por explorações direcionadas ao Automotive Grande Linux, BlackBerry QNX e Android Automotive OS.
“Uma tentativa nesta categoria deve ser lançada contra os serviços/recursos expostos do alvo ou lançada contra os protocolos de comunicação do alvo que são acessíveis a um usuário típico”, explica ZDI.
Pesquisadores de segurança interessados em participar do concurso Pwn2Own Automotive 2024 são incentivados a ler o conjunto completo de regras e Postagem do blog da ZDI sobre o que envolve participar do Pwn2Own.
