第二屆Pwn2Own Automotive汽車資安漏洞競賽開始報名

2024年12月6日
第二屆Pwn2Own Automotive汽車資安漏洞競賽開始報名

VicOne領銜鼓勵紮實研究以解決真實世界的汽車資安威脅,與趨勢科技Zero Day Initiative漏洞懸賞計畫於2025122日至124日再度共同舉辦第二屆Pwn2Own Automotive汽車資安漏洞競賽。

20241210日,台北訊】全球車用資安領導廠商VicOne宣布再度與趨勢科技ZDI漏洞懸賞計畫合作,共同舉辦Pwn2Own Automotive 2025汽車資安漏洞競賽,這是全球專門發掘及解決聯網汽車技術漏洞的比賽。

今年1月舉辦的第一屆Pwn2Own Automotive就獲得巨大成功,不僅在競賽中發現共49個零日漏洞,亦獲得了業界的高度關注。這次比賽預定於2025122(星期三)2025124(星期五)舉行,參賽者可以透過線上完成報名。比賽地點將在日本東京Automotive World (2025全球汽車技術展覽會)中。

為未來汽車資安構建基礎

Pwn2Own Automotive汽車資安漏洞競賽的目的在透過發掘零日漏洞,強化資安防護措施並促進防範網路安全事件的發生,以應對隨著軟體定義車輛(SDVs)普及,軟體操控車輛功能所帶來的漏洞風險及攻擊威脅日益增加。

Zero Day Initiative (ZDI)平台的支持下,世界級安全研究人員都能報名透過此競賽對最新汽車技術進行實際測試。當零日漏洞在黑市流通之前就能先被識別出來,讓廠商即時發現並迅速採取對策,就能幫助防止網路攻擊並增強汽車產品的整體安全性。

激勵創新與人才培育

此外,為鼓勵安全研究人員的成就並激勵進一步在車用網路安全上的研究,Pwn2Own Automotive汽車資安漏洞競賽提供超過100萬美元的總獎金。同時,此競賽為參賽者提供實際操作經驗,透過比賽方式培養資安產業的人才,為改善全球網路安全格局做出貢獻。

Pwn2Own Automotive 2025」分成四大競賽類別:Tesla、車載資訊娛樂(IVI)系統、電動車充電器,以及作業系統。每位參賽者必須在所選類別中的目標設備或作業系統上,展示執行任意程式碼的能力。比賽找出漏洞期間,每個目標最多可進行三次嘗試。成功挑戰將獲得積分,最終累積最高積分的參賽者或團隊將被授予「Pwn大師」的榮譽稱號。

競賽類別

攻擊目標

Tesla

針對Tesla Model 3/Y (基於Ryzen處理器)或等效的台式測試單元(equivalent bench top unit)

車載資訊娛樂(IVI)系統

IVI是駭客的熱門攻擊目標,現場將提供四台IVI裝置作為攻擊目標:Sony XAV-AX8500、Alpine iLX-507Pioneer DMH-WT7600NEX以及Kenwood DMX958XR

電動車充電器

此類別的攻擊必須針對目標的公開服務或針對典型使用者可存取的目標通訊協定/實體介面啟動。現場將提供七款電動車充電器供比賽使用:ChargePoint Home Flex (Model CPH50)Phoenix Contact CHARX SEC-3150WOLFBOX Level 2 EV ChargerEMPORIA EV Charger Level 2 Tesla Wall Connector Autel MaxiCharger AC Wallbox Commercial (MAXI US AC W12-L-4G)Ubiquiti Connect EV Station

作業系統

參賽者必須試圖攻擊Automotive Grade LinuxBlackberry QNXAndroid Automotive OS等作業系統的漏洞。此類別中的嘗試必須針對目標的公開服務或針對典型使用者可存取的目標通訊協定/實體介面啟動。

圖說:Pwn2Own Automotive競賽的每個類別都有要達成的目標,參賽者(或團隊)將在四個類別中競爭積分。

參賽的漏洞必須是先前未知、未公開且未報告的漏洞。若不符合這些條件,獎金可能會按比例被調降。每個類別中,只有首位成功完成挑戰的參賽者有資格獲得獎金,比賽前夕才透過隨機抽籤決定挑戰的順序以示公平。

趨勢科技威脅研究副總裁Brian Gorenc表示:「趨勢科技Zero Day Initiative(ZDI)漏洞懸賞計畫致力於研究解決包含汽車領域在內,現實世界中網路攻擊場景的方法。與在汽車網路安全領域擁有無與倫比專業知識和經驗的VicOn合作舉辦此比賽,是展示我們在汽車產業及研究社群中的安全研究專業能力的重要一步。」

VicOne執行長鄭奕立指出:「透過與ZDI合作舉辦的這項汽車資安漏洞競賽,VicOne正在為軟體定義車輛(SDV)創造一個更安全的未來。藉由競賽吸引全球安全研究好手發掘零日漏洞,一起揭示目前未知、未公開以及未通報的漏洞,利於促進汽車產業內早期風險的識別與資安威脅的緩解。這方面的努力對於全球汽車領域創新研究至關重要,特別是在SDV的發展進程加速的情況下。」

有關Pwn2Own Automotive 2025和競賽規則的更多資訊,請參考:https://www.zerodayinitiative.com/Pwn2OwnAuto2025Rules.html

想更了解Pwn2Own Automotive以及第一屆汽車資安漏洞競賽中揭露的零日漏洞的介紹,請參考:https://vicone.com/pwn2own-automotive

關於「Pwn2Own Automotive 2025

【日期與時間】2025122(星期三)2025124(星期五)

【地點】東京Big Site西館

【網站】https://vicone.com/pwn2own-automotive

【Registration deadline】報名只到日本標準時間2025116日下午5:00。參與者必須提交一份詳細說明漏洞測試程序和執行方法的白皮書以完成報名。競賽亦可以從遠端線上參與。

關於趨勢科技(Trend ZDI) 

趨勢科技為全球網路資安領導廠商,致力建立一個安全的資訊交換世界。憑藉著數十年的資安專業、全球威脅研究以及持續不斷的創新,趨勢科技跨雲端、網路、裝置及端點透過人工智慧驅動的網路資安平台隨時守護著全球數十萬家企業機構及數百萬一般使用者。趨勢科技身為雲端及企業網路資安領導廠商,我們的平台專為如 AWSMicrosoft Google 的環境提供最佳化的各種強大進階威脅防禦技術,並具更好可視性可更快更有效的偵測及回應威脅。趨勢科技共有 7000 多名員工,遍布全球 65 國,協助企業機構保護其連網世界。如需更多資訊,請至:www.trendmicro.com

關於VicOne

VicOne致力保護未來車的安全,為汽車產業提供最新系列的車用資安軟體與服務。VicOne的解決方案專為滿足汽車製造商嚴格要求所設計,旨在保護並提供新型態汽車客製化的特殊需求。身為趨勢科技的子公司,VicOne憑藉著趨勢科技超過30多年在網路資安的堅固基礎,為客戶提供卓越的汽車防護與深度資安情報洞察,以協助建造安全又智慧的汽車。更多關於VicOne訊息請參考:https://vicone.com/zh

Media Contact
Evelyn Chen 陳珮怡
evelyn_chen@vicone.com

VicOne新聞與觀點

深入瞭解汽車網路安全

閱讀最新報告

馬上體驗更先進的汽車網路安全防護

預約專人展示