Pwn2Own 2025 trao thưởng lên tới 500.000 USD cho các lỗ hổng trên xe ô tô tự hành

Theo thông tin mới được công bố, hạng mục xe ô tô tự hành (Automotive) của cuộc thi Pwn2Own Berlin thu hút sự quan tâm đặc biệt của giới bảo mật, bởi các mục tiêu và giải thưởng được niêm yết.

Pwn2Own - “Giải Oscar” của ngành an ninh mạng toàn cầu đã chính thức công bố các thông tin của mùa mới. Theo đó, cuộc thi an ninh mạng uy tín và lớn nhất thế giới sẽ diễn ra vào ngày 15 - 17/5/2025, tại Berlin, Đức. Trong 8 hạng mục công bố, xe ô tô tự hành có tổng số mục tiêu và giải thưởng niêm yết cao nhất. Các mục tiêu có thể kể đến thuộc: Tuner, Infotainment, TCU, VCSEC, Gateway, Any Tesla ECU, Autopilot. Đáng chú ý, mục tiêu Autopilot trao thưởng lên tới 500.000 USD cho việc khai thác thành công truy cập từ xa với quyền root. Các mục tiêu khác giao động phần thưởng từ 25.000 USD đến 400.000 USD.

Các giải thưởng cho hạng mục Automotive tại Pwn2Own Berlin 2025.

Pwn2Own Automotive: sân chơi của Tesla và các chuyên gia bảo mật

Kể từ khi được mở vào năm 2019, hạng mục Automotive đã chứng kiến sự sôi động khi thu hút nhiều chuyên gia bảo mật tầm cỡ với các nghiên cứu đầy sáng tạo. Đến mức, các nhà tổ chức Pwn2Own đã quyết định tổ chức sự kiện riêng Pwn2Own Automotive. Do đó, từ ngày 24/1/2024 - 26/1/2024, Pwn2Own Automotive đã được tổ chức lần đầu với mục tiêu là lĩnh vực xe hơi, trong khuôn khổ tuần lễ xe hơi thế giới. Các đội tham gia tìm cách tấn công bộ sạc xe điện, hệ thống thông tin giải trí, hệ điều hành ô tô đã được vá đầy đủ. Đội vô địch Pwn2Own Automotive 2024 là Synacktiv, mang về 450.000 USD tiền mặt, tiếp đến là fuzzware.io với 177.500 USD và Midnight Blue/PHP Hooligans với 80.000 USD.

Synacktiv đã tấn công xe điện Tesla hai lần, chiếm quyền root Modem Tesla bằng cách xâu chuỗi 3 lỗ hổng trong ngày thi đầu tiên và demo khai thác lỗ hổng sandbox escape trong hệ thống thông tin giải trí Tesla trong ngày thi thứ hai. Nhóm còn demo 2 chuỗi lỗ hổng khác nhằm vào trạm sạc Ubiquiti Connect EV Station và trạm sạc xe điện thông minh JuiceBox 40, cũng như khai thác ba lỗ hổng nhắm vào Hệ điều hành Linux Automotive Grade.

Tại cuộc thi Pwn2Own Vancouver 2023, Synakctiv cũng chính là đội chiến thắng, được thưởng 530.000 USD và một chiếc xe Tesla nhờ khai thác 2 chuỗi lỗ hổng nhằm vào hệ thống Gateway and Infotainment Unconfined Root.

Mẫu xe Tesla Model Y 2025, mục tiêu của Pwn2Own Berlin 2025.

Qua các mùa Pwn2Own, Tesla là một trong những hãng xe có sự quan tâm lớn về bảo mật, khi liên tiếp nhiều năm trao thưởng tại Pwn2Own cho các sản phẩm của hãng. Tại Pwn2Own Berlin 2025 lần này, Tesla sẽ mang đến bản mô phỏng của Tesla Model 3 2024 và Tesla Model Y 2025.