Natjecanje Pwn2Own Automotive 2025. u području sigurnosti automobilskih tehnologija održava se u Tokiju od 22. do 24. siječnja i obuhvaća testiranje sigurnosnih aspekata raznih automobilskih sustava, od punjača za električna vozila do multimedijskih sustava te operacijskih sustava poput Automotive Grade Linuxa, Android Automotive OS-a i BlackBerry QNX-a.

Prvog dana dokumentirali 16 novih sigurnosnih propusta

Tijekom prvog dana natjecanja, sigurnosni stručnjaci su identificirali i dokumentirali 16 novih sigurnosnih propusta, za što su dobili ukupno 382.750 dolara. Tim Fuzzware.io zauzeo je vodeću poziciju nakon uspješne demonstracije sigurnosnih propusta na punjačima Autel MaxiCharger i Phoenix Contact CHARX SEC-3150. Ovaj uspjeh donio im je nagradu od 50.000 dolara.

Sina Kheirkhah iz tima Summoning osvojio je 91.750 dolara u Master of Pwn kategoriji analizom punjača Ubiquiti i Phoenix Contact CHARX SEC-3150. Tim je otkrio probleme s implementacijom kriptografskog ključa te dodatna tri sigurnosna propusta, od kojih je jedan bio prethodno dokumentiran.

Drugog dana otkrili 39 novih sigurnosnih propusta

I drugi dan natjecanja Pwn2Own Automotive završio je uspješnim istraživanjima sigurnosnih ranjivosti. Tijekom dana dodijeljeno je 335.500 dolara nagrada, čime je ukupni fond narastao na 718.250 dolara. Istraživači su otkrili 39 novih sigurnosnih propusta, među kojima su i neki koji pokazuju dosad neistražene pristupe testiranju sigurnosti. U vodstvu natjecanja za titulu Master of Pwn trenutno je SinSinology.

Tim Juurin Oy, koji čine Elias Ikkelä-Koski i Aapo Oksman, uspješno je demonstrirao ranjivost vezanu uz ubacivanje naredbi u sustav Kenwood DMX958XR, za što su nagrađeni s 10.000 dolara u Master of Pwn kategoriji.

U večernjem dijelu programa nazvanom "Pwn2Own After Dark", SinSinology je pokazao način iskorištavanja Tesla Wall Connectora koristeći dvije ranjivosti koje su već bile poznate proizvođaču. Unatoč tome što ranjivosti nisu bile nove, osvojio je nagradu od 12.500 dolara u Master of Pwn kategoriji.

Rok od 90 dana za popravak

Prema pravilima natjecanja, proizvođači imaju rok od 90 dana za razvoj i implementaciju sigurnosnih zakrpa nakon prijave propusta, prije nego što TrendMicrova Zero Day Initiative objavi detalje javnosti. Tesla je za potrebe testiranja osigurala laboratorijsku verziju sustava Model 3/Y s Ryzen platformom, no sudionici su se odlučili fokusirati na testiranje zidnog punjača.

Usporedba s ranijim natjecanjima

Za usporedbu, na prvom izdanju Pwn2Own Automotive održanom u siječnju 2024., istraživači su dobili 1.323.750 dolara za dvije uspješne demonstracije propusta na Teslinim sustavima i dokumentaciju 49 sigurnosnih propusta u različitim sustavima električnih vozila. Na natjecanju Pwn2Own Vancouver 2024. održanom dva mjeseca kasnije, stručnjaci su osvojili 1.132.500 dolara za demonstraciju 29 sigurnosnih propusta. Tim Synacktiv posebno se istaknuo osvajanjem nagrade od 200.000 dolara i vozila Tesla Model 3 za hakiranje u ECU sustavu s Vehicle CAN BUS kontrolom u vremenu kraćem od 30 sekundi.