همه ساله در رویدادی موسوم به Pwn2Own برگزار میشود که در آن برترین هکرهای کلاه سفید دنیا، با هک برترین نرمافزارها و سختافزارها، جوایز گستردهای را برنده میشوند. نکته جالب در رویداد امسال اما هک غیرمنتظره خودروی تسلا مدل 3 بوده که یک تیم فرانسوی زیر 30 ثانیه آن را انجام داده است.
Pwn2own چیست؟
PWN2own یک مسابقه هک عمومی است که سالانه در کنفرانس امنیتی Cansecwest و با حمایت بنیاد Zero Day Initiative برگزار میشود. این رویداد برای اولین بار در سال 2007 در ونکوور کانادا برگزار شد ولی طی سالهای گذشته به صورت دورهای و دو نوبت در سال برگزار شده است. طی یک رسم قدیمی، برندگان این مسابقه دستگاهی را که هک کردهاند را به عنوان جایزه دریافت کرده و در کنار آن جوایز نقدی دیگری نیز به آنها اهدا میشود. این رویداد به هکرها و محققان امنیتی فرصتی میدهد تا آسیبپذیریهای ناشناخته و تکنیکهای نفوذ خود را در محصولات و سیستمهای مختلف به نمایش بگذارند و برای کشفیات خود جوایز نقدی و دیگر پاداشها را دریافت کنند.
اما رویداد امسال Pwn2Own که از دیروز و در ونکوور کانادا شروع شده نیز شامل چندین دستهبندی است که از میان آنها میتوانیم به خودروهای تسلا، سیستمهای اطلاعاتی و سرگرمی درون خودرو (IVI)، شارژرهای خودروهای الکتریکی، انواع نرمافزارهای عمومی و تخصصی، پلتفرمها و سیستمهای عامل اشاره کنیم. طی اعلام در این سال، بیش از 1,000,000 دلار در قالب جوایز نقدی و غیرنقدی به هکرها اهدا خواهد شد.
هک خودروی تسلا مدل 3 زیر 30 ثانیه
بنابر گزارش BleepingComputer، یکی از برجستهترین جوایز این رویداد که در روز اول به برندگان اهدا شده، جایزهای بود که تیم Synacktiv موفق به کسب آن گردیده است. این تیم فرانسوی با استفاده از یک حمله integer overflow توانستند به سیستم کنترل خودروی یا همان ECU خودروی الکتریکی و پیشرفته Tesla Model 3 نفوذ کرده و جایزهای به ارزش 200,000 دلار آمریکا به همراه یک دستگاه خودروی Tesla Model 3 جدید را به دست آوردند.
نکته جالب این است که این عملیات هک، بسیار سریع و تنها در کمتر از 30 ثانیه انجام شده است. در حمله مذکور تیم سینکتیو به بستر ارتباطی CAN BUS خودرو نفوذ کرده و توانستند با استفاده از آن، کنترل کامل خودرو را در دست بگیرند. برای توضیح در این مورد میتوانیم به شما دوستان بگوییم که پروتکل CAN BUS یک شبکه کنترلر محلی و به میکروکنترلرها و سیستمهای کنترلی در یک منطقه محدود و حتی داخل یک دستگاه اجازه میدهد تا برای فعالسازی عملکردهای مختلف خودرو با یکدیگر ارتباط برقرار کنند.
جالب است بدانید که تیم Synacktiv در اوایل سال جاری در رویداد Pwn2Own در توکیو نیز هک های متعددی را پیرامون نفوذ به سیستم کنترل وسایل نقلیه تسلا انجام داد. این گروه موفق شده بود در چند روز اول این رویداد، به یک سیستم امنیتی و یک سیستم اطلاعات سرگرمی نفوذ کرد.
البته گروه های دیگری نیز در هک خودروهای تسلا موفق بوده اند. محققان دانشگاهی در بلژیک توانستند سوئیچهای خودرو را کپی کرده و بدین وسیله به صورت کامل به تسلا مدل X نفوذ کنند.
در همین رابطه بخوانید:
– پیشرفتهترین کشورها در زمینه هک، امنیت و حملات سایبری
– تمام قابلیتهای مخفی خودروی تسلا توسط چند دانشجو هک شدند!
دیگر اتفاقات مهم رویداد Pwn2Own 2024
در اولین روز Pwn2Own Vancouver 2024، شرکت کنندگان 19 آسیب پذیری روز صفر را در ویندوز 11، تسلا، لینوکس اوبونتو و سایر دستگاه ها و نرم افزارها به نمایش گذاشتند تا 732،500 دلار و (همانطور که بالاتر عنوان شد) یک دستگاه خودرو تسلا مدل 3 برنده شوند.
همچنین در این رقابت هکر خوشسابقه، عبدالعزیز حریری از Haboob SA با استفاده از یک اکسپلویت موفق به هک نرمافزار محبوب Adobe Reader شد که با ترکیبی از یک بایپس محدودیت API و یک اشکال تزریق دستور، امکان اجرای کد در نسخه macOS این نرمافزار را به دست آورده بود. حریری با این هک جایزه 50 هزار دلاری این بخش از مسابقه را از آن خود کرد.
برای کسب اطلاعات بیشتر در مورد این رویداد میتوانید به صفحه توییتر Zero Day Initiative مراجعه کنید.