記者陳建興/台北報導
趨勢科技車用資安新公司VicOne今表示,VicOne的資安研究員獲邀作為今年趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫在溫哥華主辦的Pwn2Own競賽的觀察團隊成員之一,並直擊今年來自法國的Synacktiv團隊成功揭露特斯拉(TESLA) Model 3的3個零時差漏洞(0-day vulnerability)過程,該團隊曾經在2022年的比賽中也挑戰成功。Synacktiv團隊最終成為2023年Pwn2Own比賽的冠軍,獲得了總共53萬美元的獎金,以及一輛TESLA Model 3電動車。他們發現的漏洞將有助於TESLA補強其產品安全性。
除了發現和利用 TESLA 漏洞外,Pwn2Own 參賽者所預設的複雜又全新的情境也為汽車製造商和Tier 1供應商提供了寶貴的見解,幫助他們預見並充分準備應對現實世界中的類似攻擊。
「VicOne一直在前線努力找出未來聯網車輛可能遭遇的攻擊,」VicOne汽車網路威脅研究實驗室副總裁張裕敏說道:「憑藉著世界頂尖安全研究人員的專業知識和像TESLA這樣追求車輛安全而慷慨參與的公司,Pwn2Own競賽中所有人都致力為聯網產品和汽車消費者的安全保障付出心力。」
每年舉辦兩次的Pwn2Own駭客競賽是全球白帽駭客最高殿堂,以各類連網產品為主題,邀請世界各地頂尖白帽駭客從廣泛使用的軟體和行動裝置中找出 0-day漏洞。參賽團隊在會中競相展示他們的技能並揭露產品中的弱點和漏洞,獲得的獎品除了大會的獎金外還包括他們成功破解的設備。參與的廠商則受益於未知漏洞的披露,得以提早修補產品的弱點。
有鑒於人身安全的珍貴以及車輛生態系網路安全的重要性,ZDI漏洞懸賞計畫正在擴大Pwn2Own競賽,並將於2024年與VicOne共同舉辦專屬汽車產業的第一屆Pwn2Own Automotive大賽。這個首次專門針對汽車安全漏洞的駭客競賽將在明年1月24日至26日Automotive World Tokyo(東京汽車世界2024)中舉行,並廣邀汽車產業與相關零組件製造商共襄盛舉。