Pwn2Own是趋势科技（Trend Micro）主办的世界最知名的黑客大会之一。与以往的Pwn2Own大会不同，这次于日本东京举办的首届Pwn2Own Automotive 2024黑客大赛特别专注于汽车技术，大会时间为1月24日至1月26日，与日本东京汽车技术展Automotive World同时进行。

本次大赛由特斯拉赞助，VicOne和趋势科技的Zero Day Initiative (ZDI)共同主办，旨在发现并修复与汽车相关的漏洞。大赛首日战果已出炉，参赛选手成功入侵了多个设备，如索尼XAV-AX5500、特斯拉调制解调器和JuiceBox 40智能电动车充电站等。

这里列举了部分参赛选手在Pwn2Own Automotive 2024首日比赛上取得的战果：

第一位上场的选手Sina Kheirkhah成功攻击了ChargePoint Home Flex，获得6个Pwn大师积分和6万美元的奖励。

fuzzware.io的Tobias Scharnowski和Felix Buchmann在索尼XAV-AX5500上实施了攻击，获得4个大师积分和4万美元。PHP Hooligans / Midnight Blue团队对索尼XAV-AX5500进行了堆栈溢出攻击，获得4个大师积分和2万美元。Gary Li Wang利用堆栈溢出漏洞同样攻击了索尼XAV-AX5500，获得4个大师积分和2万美元。

PCAutomotive团队成功利用UAF漏洞攻击了Alpine Halo9 iLX-F509，获得4个大师积分和4万美元。Vudq16和Q5CA利用堆栈溢出漏洞同样是成功攻击了Alpine Halo9 iLX-F509，获得4个大师积分和2万美元。

NCC Group EDG团队对Pioneer DMH-WT7600NEX进行了漏洞链攻击（3-bug chain），获得4个大师积分和4万美元。他们还利用输入验证不当漏洞攻击了Phoenix Contact CHARX SEC-3100，获得6个大师积分和3万美元。

Synacktiv团队通过漏洞链攻击特斯拉调制解调器，赢得了10个大师积分和10万美元的奖励。此外，他们还对JuiceBox 40智能电动汽车充电站进行漏洞链攻击，获得6个大师积分和6万美元；对Ubiquiti Connect EV Station进行漏洞链攻击，获得6个大师积分和6万美元……

截至目前，Synacktiv的战果使他们在奖金和积分上都取得了领先地位——共29.5万美元的奖金和31个Pwn大师积分，遥遥领先于第二位NCC Group EDG的7万美元和10分。

据了解，在Pwn2Own比赛期间利用的零日漏洞被报告后，供应商有90天的时间来开发并发布相应的安全修复程序，之后趋势科技的ZDI将公开披露这些漏洞。

编辑：左右里

资讯来源：Trend Micro

转载请注明出处和本文链接