الحدث Pwn2Own السيارات 2025، عُقد في مؤتمر عالم السيارات في طوكيو، واختتمت بكشف حقائق مهمة حول الأمن في أنظمة المعلومات والترفيه في السيارات ومحطات شحن المركبات الكهربائية ومنصات التشغيل المستخدمة في الصناعة. خلال ثلاثة أيام من المنافسة، تم الكشف عن 49 ثغرة أمنية جديدة وهذا يعني الأعطال غير المعروفة سابقًا والتي تؤثر بشكل مباشر على البنية التحتية التكنولوجية لقطاع السيارات.
سلطت هذه النسخة من Pwn2Own Automotive 2025 الضوء على العمل الرائع، والأهم من ذلك، قدرة المشاركين على استغلال هذه الثغرات الأمنية على الأجهزة التي تعمل بأحدث البرامج الثابتة وأنظمة التشغيل، مع تطبيق جميع التحديثات والتكوينات الافتراضية.
الجوائز الأكثر نجاحا والمشاركين
بالنسبة لأولئك الذين ليسوا على دراية بـ Pwn2Own Automotive، يجب أن تعلم أن هذه ليست مجرد مسابقة للمعرفة والمهارات، حيث تمنح المسابقة مبالغ مختلفة من الجوائز للباحثين الذين يثبتون بنجاح استغلالهم. خلال هذه النسخة لعام 2025، تم دفع إجمالي جوائز بقيمة 886,000 ألف دولار، وكانت المتنافسة الأكثر تميزًا هي سينا خيرخاه، التي حصلت على 222,000 ألف دولار لاكتشافاتها. وحصل فريق Synacktiv صاحب المركز الثاني على مبلغ 147,000 ألف دولار، بينما حصل فريق PHP Hooligans صاحب المركز الثالث على مبلغ 110,000 آلاف دولار.
الهجمات الأكثر أهمية
خلال المسابقة، تم تنفيذ العديد من الهجمات الناجحة على أجهزة ومنصات مختلفة، بما في ذلك أنظمة المعلومات والترفيه ومحطات شحن السيارات الكهربائية. ومن بين الأنظمة البارزة في أنظمة المعلومات والترفيه ما يلي:
- لينكس من الدرجة السيارات: تم استغلال ثغرة أمنية ناجحة في بيئة تعتمد على Automotive Grade Linux، وهي منصة مستخدمة على نطاق واسع في الصناعة، بمكافأة قدرها 33,500 دولار.
- ألباين iLX-507: تم تنفيذ تسع هجمات منفصلة بنجاح لاستغلال الثغرات الأمنية في هذا النظام، وتم منح جوائز إجمالية قدرها 20,000 ألف دولار. تم التعرف على تجاوز سعة المخزن المؤقت، واستبدال الأوامر، وأخطاء التحقق من الشهادات، واستغلال مسار الملف. ومن الجدير بالذكر أن ثلاث من هذه الهجمات استغلت ثغرة أمنية تم الإبلاغ عنها بالفعل في النسخة السابقة من المسابقة، مما يشير إلى أن الشركات المصنعة لم تقم بعد بتصحيح بعض مشاكل الأمن التي تم اكتشافها قبل عام.
- سوني XAV-AX8500: تم تنفيذ خمس عمليات اختراق ناجحة، بمكافآت إجمالية بلغت 20,000 ألف دولار. وشملت الثغرات الأمنية تجاوز عدد صحيح، وتجاوز المصادقة، واستبدال الأوامر، وتجاوز سعة المخزن المؤقت.
- كينوود DMX958XR: نجحت ثماني هجمات في اختراق هذا النظام، مع دفع مبالغ تصل إلى 20,000 ألف دولار للمشاركين. تم استغلال عيوب استبدال الأوامر في نظام التشغيل، إلى جانب أخطاء تجاوز سعة المخزن المؤقت والثغرات الأمنية المعروفة.
محطات شحن المركبات الكهربائية
وكان أحد أكثر النتائج المثيرة للقلق التي توصلت إليها المسابقة هو عدد الثغرات الأمنية الموجودة في محطات شحن السيارات الكهربائية، والتي قد تشكل خطراً كبيراً إذا تم استغلالها في بيئات العالم الحقيقي.
- فينيكس كونتاكت CHARX SEC-3150: تم تنفيذ ثلاث هجمات ناجحة، بإجمالي تعويضات بلغت 91,750 دولار. تم اكتشاف ثغرة أمنية تجمع ثلاثة أخطاء في سلسلة واحدة، مما يسمح بالاستيلاء على السيطرة على النظام.
- نقطة الشحن المنزلية المرنة: ثلاث اختراقات ناجحة بجوائز تصل إلى 47,500 دولار. تم تحديد حالات طفح المخزن المؤقت والثغرات التي تهدد بروتوكول OCPP، وهو أمر أساسي للاتصال بين محطات الشحن وشبكة الطاقة.
- محطة Ubiquiti Connect EV: استغل هجومان مفتاح تشفير موجود في البرامج الثابتة، مما أسفر عن مكافآت بقيمة 50,000 ألف دولار و26,750 دولارًا.
- موصل جدار تسلا: باعتبارها واحدة من أكثر المناطق تضررًا، تم إجراء ما مجموعه خمسة عمليات اختراق ناجحة، مع دفع مبالغ وصلت إلى 50,000 ألف دولار. يمكن أن تشكل هذه الثغرات خطرًا كبيرًا على مالكي سيارات Tesla EV من خلال تمكين الهجمات على البنية التحتية للشحن.
- صندوق شحن التيار المتردد Autel MaxiCharger: أربع هجمات ناجحة بجوائز تصل إلى 50,000 ألف دولار. وتضمنت الثغرات الأمنية المكتشفة تجاوزات المخزن المؤقت، مما قد يعرض أمن الجهاز ووظائفه للخطر.
أما بالنسبة للهجمات التي تم الكشف عنها، ووفقا لقواعد المسابقة، فمن الجدير بالذكر أن التفاصيل التقنية للثغرات المكتشفة لن يتم الكشف عنها إلا بعد مرور 90 يوما أخرى، وخلال هذه الفترة سيكون المصنعون قادرين على تطوير وإصدار تصحيحات أمنية لتصحيح العيوب.
وأخيرًا، إذا كنت مهتمًا بمعرفة المزيد حول هذا الموضوع، فيمكنك استشارة التفاصيل في الرابط التالي.