Pwn2Own Automotive 2025: $886,000 en premis i 49 errors de seguretat demostrats

Darkcrizt

4 minuts

Pwn2Own Automotive 2025 Kenwood

L'esdeveniment Pwn2Own Automotive 2025, celebrat a la conferència Automotive World a Tòquio, ha conclòs amb importants revelacions sobre la seguretat en els sistemes d'infoentreteniment automotriu, estacions de càrrega de vehicles elèctrics i plataformes operatives utilitzades a la indústria. Durant tres dies de competència, es van exposar 49 vulnerabilitats del tipus 0-day, és a dir, fallades prèviament desconegudes, que afecten directament la infraestructura tecnològica del sector automotor.

En aquesta edició del Pwn2Own Automotive 2025 es va destacar la gran feina i sobretot la capacitat dels participants per explotar aquestes vulnerabilitats en dispositius que executaven el firmware i els sistemes operatius més recents, amb totes les actualitzacions aplicades i configuracions predeterminades.

Premis i participants més reeixits

Per als que desconeixen del Pwn2Own Automotive, han de saber que aquesta no només és una competència de coneixements i habilitats, ja que a la competència s'atorguen diferents quantitats de premis als investigadors que van aconseguir demostrar amb èxit els seus exploits. Durant aquesta edició 2025 es va pagar un total de $886,000 dòlars en premis, sent la competidora Sina Kheirkhah més destacada en obtenir $222,000 dòlars pels seus descobriments. L'equip Synacktiv, que va ocupar el segon lloc, va rebre $147,000 dòlars, mentre que PHP Hooligans, en tercera posició, va obtenir $110,000 dòlars.

Atacs més rellevants

Pwn2Own Automotive 2025

Durant la competència, es van executar múltiples atacs amb èxit en diferents dispositius i plataformes, abastant tant sistemes d'infoentreteniment com estacions de càrrega per a vehicles elèctrics. Entre els més notables als sistemes d'infoentreteniment, s'inclouen:

  • Automotive Grade Linux: Un exploit reeixit va permetre comprometre un entorn basat en Automotive Grade Linux, plataforma àmpliament utilitzada a la indústria, amb un premi de 33,500 dòlars.
  • Alpine iLX-507: Nou atacs diferents van aconseguir explotar vulnerabilitats en aquest sistema, amb un total de 20,000 dòlars atorgats. S'han identificat exploits de desbordament de buffer, substitució d'ordres, errors de verificació de certificats i recorregut de ruta d'arxiu. Crida l'atenció que tres d'aquests atacs van aprofitar una vulnerabilitat ja reportada a l'edició anterior de la competència, cosa que suggereix que els fabricants encara no han corregit certs problemes de seguretat detectats fa un any.
  • Sony XAV-AX8500: Es van dur a terme cinc hackejos reeixits, amb recompenses que van totalitzar $20,000. Les vulnerabilitats van incloure desbordament d'enters, omissió d'autenticació, substitució de comandes i desbordament de buffer.
  • Kenwood DMX958XR: Vuit atacs van aconseguir comprometre aquest sistema, amb pagaments de fins a $20,000 per als participants. Es van explotar errors en la substitució d'ordres al sistema operatiu, a més d'errors de desbordament de buffer i vulnerabilitats ja conegudes.

Estacions de càrrega per a vehicles elèctrics

Pwn2Own Automotive 2025 sistema de càrrega

Una de les troballes més alarmants de la competència va ser la quantitat de vulnerabilitats trobades en estacions de càrrega de vehicles elèctrics, les quals podrien representar un risc significatiu si són explotades en entorns reals.

  • Phoenix Contacte CHARX SEC-3150: es van aconseguir demostrar tres atacs reeixits, amb un pagament total de $91,750. Es va descobrir un exploit que combinava tres errors encadenats, cosa que va permetre prendre control del sistema.
  • ChargePoint Home Flex: Tres hackejos reeixits amb premis de fins a $47,500. S'han identificat desbordaments de buffer i exploits contra el protocol OCPP, clau en la comunicació entre estacions de càrrega i la xarxa elèctrica.
  • Ubiquiti Connect EV Station: Dos atacs van permetre explotar una clau criptogràfica deixada al firmware, obtenint recompenses de $50,000 i $26,750.
  • Connector de paret Tesla: sent un dels més afectats, es va demostrar un total de cinc hackejos reeixits, amb pagaments que van assolir els $50,000. Aquests exploits podrien representar un risc greu per als propietaris de vehicles elèctrics Tesla, ja que permetrien atacs a la infraestructura de càrrega.
  • Autel MaxiCharger AC Wallbox: Quatre atacs reeixits amb premis de fins a $50,000. Les vulnerabilitats detectades van incloure desbordaments de buffer, cosa que podria comprometre la seguretat i funcionalitat del dispositiu.

Pel que fa als atacs demostrats i seguint les regles del concurs, cal esmentar que els detalls tècnics de les vulnerabilitats detectades no es faran públics fins d'aquí a 90 dies, temps en què els fabricants podran desenvolupar i llançar pegats de seguretat per corregir els errors.

Finalment si estàs interessat en poder conèixer més sobre això, pots consultar els detalls en el següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.