La Zero Day Initiative (ZDI) ofrecerá más de un millón de dólares en premios en el primer concurso de piratería Pwn2Own que se centra en sistemas de automóviles, Pwn2Own Automotive y que se celebrará durante el Automotive World de Tokio entre el 24 y 26 de enero de 2024.
El concurso, que ya se anunciaba a primeros de año, tiene tres objetivos principales:
- Proporcionar una vía para fomentar la investigación en automoción.
- Incentivar a los proveedores para que participen en la comunidad de investigación de seguridad.
- En lugar de considerar el vehículo como una unidad monolítica prestar atención a los subcomponentes de un vehículo.
Los investigadores de seguridad interesados tienen hasta el 18 de enero para registrarse en el concurso y enviar una participación, que consiste en “un documento técnico detallado que explica completamente su cadena de exploits e instrucciones sobre cómo ejecutar la participación”, anunció ZDI. Al igual que con otros eventos similares, ZDI permite la participación remota a Pwn2Own Automotive.
La competición tendrá cuatro categorías: todo lo relacionado con Tesla, infoentretenimiento en el vehículo (IVI), cargadores de vehículos eléctricos y, por último, sistemas operativos.
Los concursantes que participan en la primera categoría pueden registrar “una entrada contra una unidad de sobremesa equivalente al Tesla Model 3/Y (basado en Ryzen) o al Tesla Model S/X (basado en Ryzen)”, dice ZDI. El premio más alto en esta categoría es de 200.000 dólares para exploits dirigidos al piloto automático, la puerta de enlace o VCSEC del vehículo, seguido de una recompensa de 100.000 dólares para los exploits de Ethernet dirigidos al piloto automático y la puerta de enlace. En ambos casos, como premio adicional, estará disponible un coche Tesla.
Los investigadores también pueden obtener recompensas adicionales opcionales por exploits dirigidos al bus CAN, o que puedan lograr persistencia de raíz en el piloto automático o en el sistema de información y entretenimiento del vehículo.
En la segunda categoría, los concursantes pueden ganar premios de 40.000 dólares por exploits dirigidos a tres dispositivos IVI de Sony, Alpine y Pioneer. Habrá seis dispositivos diferentes (de ChargePoint, Phoenix Contact, Emporia, JuiceBox, Autel y Ubiquiti) disponibles como objetivos en la categoría de cargadores de vehículos eléctricos, con premios de hasta 60.000 dólares por exploits válidos. En ambas categorías, los exploits deben apuntar a los servicios expuestos del dispositivo o a los protocolos de comunicación y las interfaces físicas a las que puede acceder un usuario típico.
En la categoría de sistemas operativos, los investigadores pueden ganar premios de 50.000 dólares por exploits dirigidos a Automotive Grande Linux, BlackBerry QNX y Android Automotive OS.
