本網站使用瀏覽器紀錄 (Cookies) 來提供您最好的使用體驗,我們使用的 Cookie 也包括了第三方 Cookie。相關資訊請訪問我們的隱私權與 Cookie 政策。如果您選擇繼續瀏覽或關閉這個提示,便表示您已接受我們的網站使用條款。 關閉
全球車用資安領導廠商VicOne與趨勢科技的Zero Day Initiative (ZDI)合作,已於1月22日(週三)至1月24日(週五)期間,再度於東京Automotive World全球汽車技術展覽會上舉辦第二屆Pwn2Own Automotive 2025汽車零日漏洞發掘競賽。透過參與「Automotive World」積極應對汽車行業的網路安全挑戰,並藉由展示尖端且優異的車用資安解決方案,展現出加速產業創新與實現更安全智慧運輸的願景。 「Pwn2Own Automotive」旨在透過發掘零日漏洞,強化網路安全措施並促進防範網路事件,為汽車網路安全未來發展奠定基礎。第二屆競賽共吸引來自全球13個國家的21支團隊(包含個人參賽者)參賽,和去年相比參賽國家以及團隊數量皆有增加。歷經三天的比賽總共發現了49個零日漏洞,「Master of Pwn (Pwn大師)」頭銜授予了來自英國團隊Summoning的選手Sina Kheirkhah。 隨著軟體定義汽車(SDV)的普及,車輛功能越來越依賴由軟體驅動,對漏洞與攻擊風險的擔憂日益增長。VicOne致力於建構全面的風險管理框架並提高汽車產業的網路安全標準,透過舉辦「Pwn2Own Automotive」等比賽及早發現更多零日漏洞,避免流入黑市交易,並能快速採取對策強化車用產品安全措施,防範網路攻擊,舉眾人之力為未來車輛安全奠定基礎。 此外,大賽透過表彰安全研究人員的成就並提供超過100萬美元的總獎金,希望激勵更多研究和發展,同時提供了培養網路安全產業人才的實務經驗,進一步促進全球網路安全的提升。 「Pwn2Own Automotive 2025」比賽結果亮點:來自Summoning團隊的英國選手Sina Kheirkhah以30.5分的最高分數摘得「Pwn2Own Automotive 2025」第二屆「Pwn大師」的桂冠。今年的競賽中總共發現49個未知、未公開及仍未通報的安全漏洞(零日漏洞),並且頒發了約100萬美元的獎金。參加國家與隊伍數量均較去年增加,今年的競賽共計有來自美國、日本、英國、匈牙利、荷蘭、法國、德國和越南等13個國家的21支隊伍(或個人)參與。 競賽期間發現的零日漏洞已提交給相關廠商,讓廠商採取措施進行修補並尋找對策。根據修復進度及當時情況,詳細漏洞資訊預計將在比賽結束後的90天內披露。 趨勢科技威脅研究副總裁Brian Gorenc表示:「自2007年以來,Pwn2Own一直是全球最大規模的安全研究競賽,獎勵頂尖研究人員攻克最具挑戰性的攻擊面並發掘零日漏洞。延續去年活動的成功,我們今年再次回到東京舉辦第二屆Pwn2Own Automotive。此次活動發現了49個零日漏洞,並匯聚了汽車廠商和全球頂尖安全研究人員,共同分享汽車網路安全領域最新且最有價值的見解。這對全球汽車產業應對不斷演變的威脅至關重要。我們已經開始期待明年的再次回歸。」 VicOne執行長鄭奕立表示:「隨著軟體定義汽車(SDV)重塑汽車產業,網路安全成為確保其安全性與可靠性的關鍵。每一個被發現並揭露的漏洞,都意味著駭客利用它來開發零時差攻擊的機會又少了一些,像Pwn2Own Automotive這樣的平台對於發掘零日漏洞以及早一步將風險減輕至關重要。透過支持此類活動,汽車產業能更主動加強車輛安全,為更安全且具彈性的移動出行創新鋪平坦途。」 主辦競賽的同時,VicOne亦參加了第17 屆「Automotive World」展會,並在展位上展示了車用資安解決方案,包括利用其在SBOM(軟體物料清單)和零日漏洞方面擁有獨特優勢的xZETA,以及能有效防範智慧座艙環境中數據洩露與AI攻擊的智慧座艙防護新功能。
第二屆Pwn2Own Automotive汽車資安漏洞競賽開始報名 Tesla&ChargePoint再度參戰全球最大的零日漏洞發現大賽 VicOne和趨勢科技ZDI漏洞懸賞計畫一同在日本主戰場發掘聯網汽車技術漏洞 【2024年12月10日,台北訊】全球車用資安領導廠商VicOne宣布再度與趨勢科技的ZDI漏洞懸賞計畫合作,共同舉辦Pwn2Own Automotive 2025汽車資安漏洞競賽,這是全球專門發掘及解決聯網汽車技術漏洞的比賽。 今年1月舉辦的第一屆Pwn2Own Automotive就獲得巨大成功,不僅在競賽中發現共49個零日漏洞,亦獲得了業界的高度關注。這次比賽預定於2025年1月22日(星期三)至2025年1月24日(星期五)舉行,參賽者可以透過線上完成報名。比賽地點將在日本東京Automotive World (2025全球汽車技術展覽會)中。 為未來汽車資安構建基礎 Pwn2Own Automotive汽車資安漏洞競賽的目的在透過發掘零日漏洞,強化資安防護措施並促進防範網路安全事件的發生,以應對隨著軟體定義車輛(SDVs)普及,軟體操控車輛功能所帶來的漏洞風險及攻擊威脅日益增加。 在Zero Day Initiative (ZDI)平台的支持下,世界級安全研究人員都能報名透過此競賽對最新汽車技術進行實際測試。當零日漏洞在黑市流通之前就能先被識別出來,讓廠商即時發現並迅速採取對策,就能幫助防止網路攻擊並增強汽車產品的整體安全性。 激勵創新與人才培育 此外,為鼓勵安全研究人員的成就並激勵進一步在車用網路安全上的研究,Pwn2Own Automotive汽車資安漏洞競賽提供超過100萬美元的總獎金。同時,此競賽為參賽者提供實際操作經驗,透過比賽方式培養資安產業的人才,為改善全球網路安全格局做出貢獻。 「Pwn2Own Automotive 2025」分成四大競賽類別:Tesla、車載資訊娛樂(IVI)系統、電動車充電器,以及作業系統。每位參賽者必須在所選類別中的目標設備或作業系統上,展示執行任意程式碼的能力。比賽找出漏洞期間,每個目標最多可進行三次嘗試。成功挑戰將獲得積分,最終累積最高積分的參賽者或團隊將被授予「Pwn大師」的榮譽稱號。 競賽類別 攻擊目標 Tesla 針對Tesla Model 3/Y (基於Ryzen處理器)或等效的台式測試單元(equivalent bench top unit)。 車載資訊娛樂(IVI)系統 IVI是駭客的熱門攻擊目標,現場將提供四台IVI裝置作為攻擊目標:Sony XAV-AX8500、Alpine iLX-507、Pioneer DMH-WT7600NEX以及Kenwood DMX958XR。 電動車充電器 此類別的攻擊必須針對目標的公開服務或針對典型使用者可存取的目標通訊協定/實體介面啟動。現場將提供七款電動車充電器供比賽使用:ChargePoint Home Flex (Model CPH50)、Phoenix Contact CHARX SEC-3150、WOLFBOX Level 2 EV Charger、EMPORIA EV Charger Level 2 、Tesla Wall Connector 、Autel MaxiCharger AC Wallbox Commercial (MAXI US AC W12-L-4G)、Ubiquiti Connect EV Station。 作業系統 參賽者必須試圖攻擊Automotive Grade Linux、Blackberry QNX及Android Automotive OS等作業系統的漏洞。此類別中的嘗試必須針對目標的公開服務或針對典型使用者可存取的目標通訊協定/實體介面啟動。 參賽的漏洞必須是先前未知、未公開且未報告的漏洞。若不符合這些條件,獎金可能會按比例被調降。每個類別中,只有首位成功完成挑戰的參賽者有資格獲得獎金,比賽前夕才透過隨機抽籤決定挑戰的順序以示公平。 趨勢科技威脅研究副總裁Brian Gorenc表示:「趨勢科技Zero Day Initiative(ZDI)漏洞懸賞計畫致力於研究解決包含汽車領域在內,現實世界中網路攻擊場景的方法。與在汽車網路安全領域擁有無與倫比專業知識和經驗的VicOne合作舉辦此比賽,是展示我們在汽車產業及研究社群中的安全研究專業能力的重要一步。」 VicOne執行長鄭奕立指出:「透過與ZDI合作舉辦的這項汽車資安漏洞競賽,VicOne正在為軟體定義車輛(SDV)創造一個更安全的未來。藉由競賽吸引全球安全研究好手發掘零日漏洞,一起揭示目前未知、未公開以及未通報的漏洞,利於促進汽車產業內早期風險的識別與資安威脅的緩解。這方面的努力對於全球汽車領域創新研究至關重要,特別是在SDV的發展進程加速的情況下。」 關於「Pwn2Own Automotive 2025汽車資安漏洞競賽」 【日期與時間】2025年1月22日(星期三)至2025年1月24日(星期五) 【地點】東京Big Site西館 【報名截止日期】日本標準時間2025年1月16日下午5:00。 參與者必須提交一份詳細說明漏洞測試程序和執行方法的白皮書以完成報名。競賽亦可以從遠端線上參與。
近距離看高手較勁 VicOne在Pwn2Own 2023駭客競賽現場直擊Tesla Model 3漏洞揭露成功 第一屆Pwn2Own Automotive大賽 2024年1月東京見 趨勢科技車用資安新公司VicOne今表示,VicOne的資安研究員獲邀作為今年趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫在溫哥華主辦的Pwn2Own競賽的觀察團隊成員之一,並直擊今年來自法國的Synacktiv團隊成功揭露特斯拉(TESLA) Model 3的3個零時差漏洞(0-day vulnerability)過程,該團隊曾經在2022年的比賽中也挑戰成功。Synacktiv團隊最終成為2023年Pwn2Own比賽的冠軍,獲得了總共53萬美元的獎金,以及一輛TESLA Model 3電動車。他們發現的漏洞將有助於TESLA補強其產品安全性。 除了發現和利用 TESLA 漏洞外,Pwn2Own 參賽者所預設的複雜又全新的情境也為汽車製造商和Tier 1供應商提供了寶貴的見解,幫助他們預見並充分準備應對現實世界中的類似攻擊。 「VicOne一直在前線努力找出未來聯網車輛可能遭遇的攻擊,」VicOne汽車網路威脅研究實驗室副總裁張裕敏說道:「憑藉著世界頂尖安全研究人員的專業知識和像TESLA這樣追求車輛安全而慷慨參與的公司,Pwn2Own競賽中所有人都致力為聯網產品和汽車消費者的安全保障付出心力。」 每年舉辦兩次的Pwn2Own駭客競賽是全球白帽駭客最高殿堂,以各類連網產品為主題,邀請世界各地頂尖白帽駭客從廣泛使用的軟體和行動裝置中找出 0-day漏洞。參賽團隊在會中競相展示他們的技能並揭露產品中的弱點和漏洞,獲得的獎品除了大會的獎金外還包括他們成功破解的設備。參與的廠商則受益於未知漏洞的披露,得以提早修補產品的弱點。 有鑒於人身安全的珍貴以及車輛生態系網路安全的重要性,ZDI漏洞懸賞計畫正在擴大Pwn2Own競賽,並將於2024年與VicOne共同舉辦專屬汽車產業的第一屆Pwn2Own Automotive大賽。這個首次專門針對汽車安全漏洞的駭客競賽將在明年1月24日至26日Automotive World Tokyo(東京汽車世界2024)中舉行,並廣邀汽車產業與相關零組件製造商共襄盛舉。 透過全新的Pwn2Own Automotive競賽,期望: – 以獎金鼓勵更多研究人員針對不同產品與平台,投入車用資安研究報告,進一步推動汽車網路安全相關的研究工作。 – 藉由突顯需要進行安全評估的關鍵技術,揭示連網汽車可能的受攻擊面。 – 針對車輛的多系統攻擊提供更高的獎勵誘因,期望參賽者能發掘出更多有挑戰性且複雜的連網汽車威脅。 如欲獲得更多在2023年溫哥華Pwn2Own大會中獲獎者如何發現TESLA的漏洞及相關技術方面的細節,敬請參閱VicOne的部落格。 ### 關於VicOne VicOne致力保護未來車的安全,為汽車產業提供最新系列的車用資安軟體與服務。VicOne的解決方案專為滿足汽車製造商嚴格要求所設計,旨在保護並提供新型態汽車客製化的特殊需求。身為趨勢科技的子公司,VicOne憑藉著趨勢科技超過30多年在網路資安的堅固基礎,為客戶提供卓越的汽車防護與深度資安情報洞察,以協助建造安全又智慧的汽車。更多關於VicOne訊息請參考:https://www.vicone.com/zh VicOne 新聞聯絡人: 精英公關 童品澄 Selina / 0963-830-501 / selina@epr.com.tw 精英公關 張媛琳 Jessie / 0922-706-761 / jessie@epr.com.tw VicOne 陳珮怡 Evelyn / evelyn_chen@vicone.com
A12 藝術空間
Pwn2Own Automotive
請先登入後才能發佈新聞。
還不是會員嗎?立即 加入台灣產經新聞網會員 ,使用免費新聞發佈服務。 (服務項目) (投稿規範)
