Első alkalommal szervez autóipari hekkerversenyt a Zero Day Initiative (ZDI). A Pwn2Own Automotive-ot 2024. január 24-26. között a tokiói Automotive World Conference keretében rendezik meg. De nem ez lesz az első olyan Pwn2Own, ahol autót lehet hekkelni. A 2019-es vancouveri versenyen már neki lehetett esni (virtuálisan) egy Tesla Model 3-nak. A sikeres törések díjazására a Tesla akkor közel 800 ezer dollár pénzdíjat ajánlott fel.

Mint a SecurityWeeknek Dustin Childs, a ZDI egyik vezetője elmondta, az autókra koncentráló hekkerverseny ötletét voltaképpen ez a vancouveri verseny adta. Akkor még a Tesla volt a kezdeményező, azóta viszont már teljesen általánossá vált az autóiparban, hogy az infotainment rendszeren keresztül az internet beköltözött a járművek kellős közepébe. Az autó már nem csak autó, hanem rendszerek rendszere, mondta Childs.

A ZDI szeretné megérteni a modern járművek teljes támadási felületét. Az autók egyre autonómabbak, és a gyártók folyamatosan új funkciókkal bővítik ezt az autonómiát. Az ilyen rendszerek pedig tökéletes témát adnak egy Pwn2Own versenynek.

De fontos motivációja lehetett az iparág-specifikus verseny megrendezésének, hogy a ZDI tulajdonosa, a Trend Micro közvetlenül is érdekelt a témában. 2018-ban szerezte meg a VicOne nevű autóipari kiberbiztonsággal foglalkozó céget, hogy bővíthesse iparági kínálatát. A januári verseny feladatait a VocOne szakértői állították össze. A szponzorok között pedig ott lesz a Tesla és ChargePoint is, amely 14 országban üzemeltet elektromos töltőhálózatokat.

Négy kategóriában lehet majd versenyezni. Önálló kategória a Tesla, ahol az összdíjazás közel egymillió dollár, és bizonyos esetekben a tört autó a hekkercsapaté lehet. Az infotainment kategóriában Alpine, Sony és Pioneer rendszerek gyenge pontjait kell keresni. Lehet támadni járműtöltőket egyenként 60 ezer dollárért, valamint három operációs rendszert (Automotive Grade Linux, Android Automotive OS, BlackBerry QNX), darabját 50 ezerért.

Az egészségügybe is betörnének

Bár a Pwn2Own-versenyek valóban a versengésről szólnak, alapvetően jó biznisz a szervezőnek, amely abból él, hogy hibavadászoktól sérülékenységeket vásárol, és azt továbbértékesíti a gyártóknak. A Pwn2Own ennek csinál jó reklámot, mert megmutatja a gyártóknak, hogy egy tőlük függetlenül működő hibavadász platform mennyire hatékony tud lenni.

A másik oldalon pedig jogi védelmet nyújtanak az etikus hekkereknek, akiknek így nem kell megküzdeniük alkalomadtán a gyártók jogászaival. Bár a ZDI tevékenysége közismert a szakmában, még mindig előfordul évente néhányszor, hogy egyes cégek, melyeknek felhívják a figyelmét egy biztonsági résre, jogi lépésekkel fenyegetőznek, állította Dustin Childs.

A ZDI szeretne több tematikus Pwn2Own-t szervezni. Érdekes lenne például egészségügyi berendezéseket hekkelni, de a logisztikája szinte megoldhatatlan. Egy Alpine fejegységet el lehet juttatni a kutatókhoz, még akár Charge Point EV-töltőt is. De egy orvosi robotot nem, ézékeltette a problémát a ZDI-vezető.

A januári versenyre egészen 2024. január 18-ig lehet jelentkezni. A ZDI oldalán már elérhetők a részvételi feltételek és a versenyszabályzat.