全球領先的汽車資安公司VicOne宣布,將再度與趨勢科技的ZDI漏洞懸賞計畫攜手,舉辦Pwn2Own Automotive 2025,這是一項專注於聯網汽車技術漏洞探索與修復的全球性競賽。
在今年1月舉辦的首屆Pwn2Own Automotive競賽中,共發現了49個零日漏洞,受到廣泛業界關注。2025年度比賽將於1月22日到24日在日本東京舉行,地點設於Automotive World 2025全球汽車技術展覽。參賽者可透過線上報名參加。
Pwn2Own Automotive競賽旨在揭露零日漏洞,從而加強資訊安全防護,防範可能的網路安全事件。隨著軟體定義車輛 (SDVs) 逐漸普及,這些漏洞和攻擊威脅日益增多,故需藉此提升防護措施。Zero Day Initiative平台支持參賽者深入測試最新汽車技術,並在漏洞未被黑市利用前識別,協助業者迅速應對威脅,保護汽車安全。
| 競賽類別 | 攻擊目標 |
| Tesla | 針對Tesla Model 3/Y (基於Ryzen處理器)或等效的台式測試單元(equivalent bench top unit)。 |
| 車載資訊娛樂 (IVI) 系統 | IVI是駭客的熱門攻擊目標,現場將提供四台IVI裝置作為攻擊目標:Sony XAV-AX8500、Alpine iLX-507、Pioneer DMH-WT7600NEX以及Kenwood DMX958XR。 |
| 電動車充電器 | 此類別的攻擊必須針對目標的公開服務或針對典型使用者可存取的目標通訊協定/實體介面啟動。現場將提供七款電動車充電器供比賽使用:ChargePoint Home Flex (Model CPH50)、Phoenix Contact CHARX SEC-3150、WOLFBOX Level 2 EV Charger、EMPORIA EV Charger Level 2 、Tesla Wall Connector 、Autel MaxiCharger AC Wallbox Commercial (MAXI US AC W12-L-4G)、Ubiquiti Connect EV Station。 |
| 作業系統 | 參賽者必須試圖攻擊Automotive Grade Linux、Blackberry QNX及Android Automotive OS等作業系統的漏洞。此類別中的嘗試必須針對目標的公開服務或針對典型使用者可存取的目標通訊協定/實體介面啟動。 |
此外,為了獎勵安全研究人員的貢獻,以及激勵更多研究在汽車網路安全上的精進,Pwn2Own Automotive競賽設有超過100萬美元的獎金。這不僅讓參賽者獲得實戰經驗,也在全球網路安全領域培養人才。
「Pwn2Own Automotive 2025」設有四大競賽項目:Tesla、車載娛樂資訊系統 (IVI)、電動車充電器及作業系統。參賽者需展示能在各類中目標設備或系統上執行任意程式的能力,且每項目可進行最多三次嘗試。活動設有積分制,最終分數最高者將被授予「Pwn大師」稱號。
參賽漏洞需為新發現、未公開及未報告的漏洞,否則獎金可能有調整。獎金只授予首位成功挑戰者,而挑戰順序由抽籤決定,確保比賽公平。
趨勢科技威脅研究副總裁Brian Gorenc指出:「我們的ZDI計畫專注於現實世界網路攻擊場景的解決,與VicOne的合作是一個展示我們在汽車安全研究中卓越能力的重要機會。」
VicOne的執行長鄭奕立表示:「通過這次與ZDI合作的競賽,我們正為SDV創造更安全的未來,吸引全球頂尖研究人員來揭露未明漏洞,從而促進汽車行業的早期風險識別與資安威脅的緩解。這對於SDV發展中的創新研究至關重要。」
延伸閱讀:
