第一屆Pwn2Own Automotive汽車資安漏洞競賽，鼓勵紮實研究解決汽車資安威脅

全球車用資安領導廠商VicOne今天宣布該公司將共同舉辦2024年第一屆Pwn2Own Automotive汽車資安漏洞競賽，這是全球第一個專門發掘及解決聯網汽車技術漏洞的比賽。Tesla將擔任本屆Pwn2Own Automotive的主要贊助商。除此之外，美國充電樁設備商龍頭ChargePoint也將是Pwn2Own大賽的贊助商，為競賽的充電器組提供技術指導與硬體支援。

Pwn2Own Automotive預定於2024年1月24至26日在日本東京Automotive World全球汽車技術展覽會上舉行。參賽者將有機會在各種考驗當中角逐超過1百萬美元的獎金及獎品，考題將以VicOne對汽車系統與相關數位基礎架構的專業知識以及Zero Day Initiative(ZDI)平台為基礎。趨勢科技的ZDI所揭露及管理的漏洞數量獨步全球，是全球最大的非限定廠商獨立漏洞懸賞計畫。

「若沒有VicOne，就不會有Pwn2Own Automotive汽車資安漏洞競賽誕生。」趨勢科技威脅研究副總裁Brian Gorenc表示：「VicOne提供了有關聯網汽車元件真實威脅與可攻擊面的專業知識和紮實洞見，並知道如何將這些資訊揭露給資安研究人員，讓他們能務實地解決這些問題。VicOne在這方面擁有無可匹敵的經驗，是我們能在汽車產業享譽盛名的關鍵，展現了我們正在透過真實的研究解決真實的問題，而非只是耍弄一些商業價值有限的駭客特技。」

競賽類別	攻擊目標
Tesla	針對Tesla Model 3/Y或Tesla Model S/X的Ryzen處理器桌上型車用電腦單元破解競賽。優勝者將有機會贏得高達20萬美元的獎金與一部電動車。
車載資訊娛樂(IVI)系統	IVI是駭客的熱門攻擊目標，現場將提供三台IVI裝置作為攻擊目標：Sony XAV-AX5500、Alpine Halo9 iLX-F509、Pioneer DMH-WT7600NEX。
電動車充電器	行動裝置應用程式、低功耗藍牙(BLE)連線，以及OCPP通訊協定都讓駭客有機會對電動車造成損害。現場將提供六款電動車充電器供比賽使用：ChargePoint Home Flex、Phoenix Contact CHARX SEC-3100、EMPORIA EV Charger Level 2、JuiceBox 40 Smart EV Charging Station with WiFi、Autel MaxiCharger AC Wallbox Commercial (MAXI US AC W12-L-4G)、Ubiquiti Connect EV Station。
作業系統	參賽者必須試圖攻擊Automotive Grade Linux、Blackberry QNX及Android Automotive OS等作業系統的漏洞。針對Automotive Grade Linux目標的參賽者，如果利用了BlueZ、oFono和ConnMan子系統的漏洞，則可以獲得額外的10,000美元獎金。

Pwn2Own Automotive共分成四大競賽類別：Tesla、車載資訊娛樂(IVI)系統、電動車充電器，以及作業系統。每個組別都有要達成的目標，參賽者在線上報名過程中請告知欲參賽的類別。所有參賽作品必須侵入設備並示範在設備上得以執行任意代碼。

參賽者必須成功利用新發現的漏洞來修改聯網汽車程式或處理程序的標準執行方式，以便可以執行任意指令。
參賽者必須能破解目標元件用來確保程式碼安全執行的設計機制，例如：資料執行防止 (DEP)、位址空間配置隨機化(ASLR)以及/或是應用程式沙盒模擬環境。攻擊中所使用的漏洞必須是先前未曾知曉、未曾發布、和/或未曾通報過的漏洞。
VicOne工程師會在Pwn2Own Automotive現場協助準備攻擊環境、評估參賽者的成果，並執行漏洞揭露流程，讓實際產品中的漏洞能夠儘早進行修復。

VicOne執行長鄭奕立指出：「我們非常高興Tesla能夠在Pwn2Own Automotive擔任主要贊助商。作為車用資安廠商VicOne希望領銜鼓勵紮實研究以解決真實世界的汽車資安威脅，此次與ZDI的合作，更展現了VicOne在發掘聯網汽車漏洞以防範未來攻擊的領先地位。這樣的活動對於協助全球汽車產業預測及防範不斷演進的威脅情勢至關重要。」

比賽報名截止日期為：2024年1月18日，報名時須繳交一份白皮書詳細說明漏洞攻擊的程序及執行步驟。本競賽開放遠端參賽，建議最晚要在截止日期至少兩個星期之前與主辦單位聯繫。詳細的Pwn2Own Automotive競賽規則可以參閱：https://www.zerodayinitiative.com/Pwn2OwnAuto2024Rules.html。