全球車用資安領導廠商VicOne於東京Automotive World全球汽車技術展覽會上舉辦了第一屆Pwn2Own Automotive汽車資安漏洞競賽,也是全球第一個專門發掘及解決連網汽車技術漏洞的比賽。來自歐、美、亞洲9個國家的17個參賽隊伍和個人在四個競賽類別報名參與共計51個項目的挑戰。這次競賽總共發現49個未知的安全漏洞(zero-day),獲獎者更抱走了價值132萬7500美元的現金和獎品。首屆競賽的「Pwn大師」則由來自法國的Synacktiv團隊摘下桂冠。
VicOne與趨勢科技Zero Day Initiative (ZDI)攜手共同主辦的這場競賽是專注於汽車的合法駭客競賽,卻是「Pwn2Own」競賽自2007年以來舉辦過規模最大的競賽之一。作為引領發現零日漏洞的汽車網路安全專家,VicOne持續關注不斷發展的互聯汽車生態系統以及廣泛的受攻擊面,除了為車廠、供應商及整個車聯網提供車用資安解決方案,我們致力透過真實的研究來解決真實的問題,希望透過競賽的方式邀請各路好手來共同發掘汽車網路中的漏洞,以推動相關技術發展,多方面守護連網車輛資安。
這次Pwn2Own Automotive汽車資安漏洞競賽總共有四大競賽類別:Tesla、車載資訊娛樂(IVI)系統、電動車充電器,以及作業系統,考題則以VicOne對汽車系統與相關數位基礎架構的專業知識以及Zero Day Initiative(ZDI)平台為基礎。Tesla(NASDAQ:TSLA)是本屆Pwn2Own Automotive的主要贊助商,美國充電樁設備商龍頭ChargePoint(NYSE:CHPT)亦是這次比賽的贊助商,為競賽的充電器組提供技術指導與硬體支援。
各隊的比賽順序在競賽前一天抽籤公告,若要贏得比賽,參賽者必須利用新發現的漏洞來攻擊目標系統和設備,並能執行任意指令。今年一共收到了51個報名參賽項目,從賽程表發現參加隊伍中針對電動車充電器(EV Charger)以及車載影音系統(IVI)兩個類別的攻擊最多,分別佔了近六成以及三成。三天比賽下來成果豐碩,雖然有撞洞情形發生,但總共發現49個未曾被發現或是揭露的安全漏洞(zero-day)。獲得Pwn大師桂冠的Synacktiv團隊,繼去年3月挑戰特斯拉成功,這次又再度挑戰特斯拉項目成功,並在其他三個類別也獲得勝利,抱回總共45萬美元的獎金。這次競賽前五名的隊伍皆來自歐洲。
每一個被發現並揭露的漏洞,都意味著駭客利用它來開發零時差攻擊的機會又少了一些。同時,提供設備的廠商可以藉此發現產品中的弱點並盡快補救,避免未來可能遭受到的駭客攻擊並帶來聲譽和營運損失,更重要的是,這不僅僅是各路好手精英之間的良性競爭,還包括與汽車產業以及汽車網路安全專家的合作,通過創新和承諾使整個產業更加安全。
延伸閱讀: