ក្រុមហ៊ុន Tesla បានបង្ហាញ 24 Zero-days ដោយការប្រកួតហេគ​នៅក្នុងព្រឹត្តិការណ៍ Pwn2Own Automotive 2024

0

អ្នកស្រាវជ្រាវសន្តិសុខបានចូលហេគ Tesla Modem និងទទួលបានរង្វាន់ទឹកប្រាក់ចំនួន ៧២២,៥០០ដុល្លារ នៅថ្ងៃទីមួយនៃការប្រកួតហេគ (Hacking Contest) Pwn2Own Automotive 2024 ដោយប្រើបញ្ហាការប៉ះទង្គិច (Collision) ចំនួន៣ និងបញ្ហា Zero-Day ចំនួន២៤។ រីឯ ក្រុម Synacktiv Team (@Synacktiv) ទទួលបានប្រាក់រង្វាន់ចំនួន ១០០,០០០ដុល្លារ បន្ទាប់ពីប្រើបញ្ហា Zero-Day ចំនួន៣ ចូលហេគបានជោគជ័យ និងបង្កើនសិទ្ធិជា Root Permissions នៅលើ Tesla Modem។ ពួកគេក៏បានប្រើបញ្ហាទាំងពីរខាងលើ (two unique two-bug chains) ដើម្បីហេគ Ubiquiti Connect EV Station និង JuiceBox 40 Smart EV Charging Station និងទទួលបានប្រាក់រង្វាន់បន្ថែមរហូតដល់ ១២០,០០០ដុល្លារ។

ការកេងចំណេញទីបី (Exploit Chain) ដែលមានគោលដៅលើ ChargePoint Home Flex EV charger ទោះជាត្រូវបានគេដឹង ប៉ុន្តែអ្នកជំនាញហេគនៅតែអាចរកបានប្រាក់រង្វាន់ចំនួន ១៦,០០០ដុល្លារ ជាមួយនឹងប្រាក់រង្វាន់សរុបចំនួន ២៩៥,០០០ដុល្លារនៅថ្ងៃទីមួយនៃការប្រកួត។ អ្នកស្រាវជ្រាវសុវត្ថិភាពក៏បានចូលហេគដោយជោគជ័យលើស្ថានីយបញ្ចូលថ្មដែលបាន Patched EX (Charging Stations) និងប្រព័ន្ធព័ត៌មានកំសាន្ត ជាមួយនឹងក្រុម NCC Group EDG team ដែលជាប់ចំណាត់ថ្នាក់លេខ២ បន្ទាប់ពីទទួលបានរង្វាន់ចំនួន ៧០,០០០ដុល្លារលើការប្រើការកេងចំណេញ Zero-Days ដើម្បីហេគ Pioneer DMG-WT7600NEX Infotainment System និង Phoenix Contact CHARX SEC-3100 EV charger។ បន្ទាប់ពីបញ្ហា Zero-Day ត្រូវបានកេងចំណេញ និងរាយការណ៍នៅក្នុងព្រឹត្តិការណ៍នៃការប្រកួត Pwn2Own Competition, ចំពោះអ្នកលក់បន្តមានរយៈពេល ៩០ថ្ងៃដើម្បីកែសម្រួល និងបញ្ចេញនូវដំណោះស្រាយសុវត្ថិភាពមុនពេល TrendMicro’s Zero Day Initiative ត្រូវបានបង្ហាញបញ្ហាទាំងនោះជាសាធារណៈ។

ការប្រកួតហេគ Pwn2Own Automotive 2024 ផ្តោតលើបច្ចេកទេសរថយន្ត និងប្រព្រឹត្តិទៅនៅក្នុងសប្តាហ៍នេះ នៅទីក្រុងតូក្យូ ប្រទេសជប៉ុន នៅក្នុងអំឡុងនៃព្រឹត្តិការណ៍សន្និសិតរថយន្ត Automotive World កាលពីថ្ងៃទី២៤ ខែមករា និងថ្ងៃទី២៦ ខែមករា នេះ។ នៅពេលប្រកួត អ្នកស្រាវជ្រាវសន្តិសុខអាចវាយប្រហារលើប្រព័ន្ធព័ត៌មានកំសាន្តនៅក្នុងរថយន្ត Tesla (IVI) ប្រព័ន្ធសាកថ្មអេឡិចត្រូនិករថយន្ត (EV) និងប្រព័ន្ធដំណើរការរថយន្ត (ឧ. Automotive Grade Linux, BlackBerry QNX, Android Automotive OS ជាដើម)។ អ្នកស្រាវជ្រាវក៏អាចបង្ហាញការកេងចំណេញដែលមានគោលដៅលើ Tesla Model 3/Y (Ryzen-based) ឬ Tesla Model S/X (Ryzen-based) Systems រួមមានទាំងប្រព័ន្ធព័ត៌មានកំសាន្ត ម៉ូឌែម ឧបករណ៍ចាប់សញ្ញា (Tuner) ប្រព័ន្ធឥតខ្សែ (Wireless) និងប្រព័ន្ធគ្រប់គ្រងផ្លូវ (Autopilot)។ រង្វាន់ទីមួយនឹងទទួលបានចំពោះអ្នកដែលអាចចូលហេគលើ VCSEC, Gateway ឬបញ្ហា Autopilot zero-days គិតជាទឹកប្រាក់ចំនួន ២០០,០០០ដុល្លារ និងឡាន Tesla ចំនួន១គ្រឿង។ អ្នកក៏អាចស្វែងកាលវិភាគលម្អិត និងលទ្ធផលនៃការប្រកួតនៅលើអ៊ីនធឺណិតបាន។

បើក្រឡេកទៅមើល ព្រឹត្តិការណ៍នៃការ ប្រកួត Pwn2Own Vancouver 2023 កាលពីខែមីនា ឯនោះវិញ អ្នកស្រាវជ្រាវសុវត្ថិភាពទទួលបានប្រាក់រង្វាន់រហូតដល់ទៅ ១,០៣៥,០០០ដុល្លារ និងរថយន្ត Tesla Model 3 បន្ទាប់ពីការបង្ហាញនូវបញ្ហាចំនួន ២៧ zero-days (និងបញ្ហា Collisions មួយចំនួនផ្សេងទៀត)៕

https://www.bleepingcomputer.com/news/security/tesla-hacked-24-zero-days-demoed-at-pwn2own-automotive-2024/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៤ ខែមករា ឆ្នាំ២០២៤

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here