VicOne Inc., ein führender Anbieter von Cybersicherheitslösungen für die Automobilindustrie, veranstaltet gemeinsam mit der Zero Day Initiative (ZDI)-Plattform seines Mutterunternehmens Trend Micro, dem weltweit größten herstellerunabhängigen Bug-Bounty-Programm, erneut den White-Hacking-Contest „Pwn2Own Automotive 2025“. Der Wettbewerb der Top Ethical Hacker bzw. Cybersicherheitsexperten zur Erforschung und Behebung bisher unbekannter Cybersicherheitslücken („Zero-Day Discovery“) im automobilen Bereich findet vom 22. Januar bis 24. Januar 2025, mit weltweiter Beteiligung im Tokyo Big Sight Veranstaltungszentrum im Rahmen der „17th AUTOMOTIVE WORLD 2025 - Advanced Automotive Technology Expo“ statt.
Nach der äußerst erfolgreichen Premiere im Januar 2024, bei der 49 bisher unbekannte Cybersicherheitslücken (Zero-Day-Schwachstellen) entdeckt und an die jeweiligen Hersteller gemeldet wurden, wurde nun die zweite Ausgabe des „Pwn2Own Automotive“ Wettbewerbs angekündigt. Die Veranstaltung trägt dazu bei, eine Grundlage für die künftige Cybersicherheit in der Automobilindustrie zu schaffen, indem sie Cybersicherheitsmaßnahmen stärkt und die Prävention von Cybervorfällen durch die Entdeckung von Zero-Day-Schwachstellen fördert. Damit wird der wachsenden Gefahr von Cybersicherheitslücken und erhöhten Angriffsrisiken begegnet, die mit der Einführung von softwaredefinierten Fahrzeugen („Software-defined Vehicles“, SDVs) und softwaregesteuerten Fahrzeugfunktionen einhergeht.
Dank der Nutzung der ZDI-Plattform ermöglicht der Wettbewerb führenden Cybersicherheitsexperten, die neuesten Automobiltechnologien unter realen Bedingungen zu testen und anzugreifen. Durch die Identifizierung von Zero-Day-Schwachstellen, bevor sie auf dem Schwarzmarkt zirkulieren und für kriminelle Zwecke verwendet werden können, ermöglicht die Veranstaltung Fahrzeugherstellern und -zulieferern schnelle Gegenmaßnahmen, die dazu beitragen, Cyberangriffe zu verhindern und die allgemeine Sicherheit von Automobilprodukten zu verbessern.
Darüber hinaus fördert der Wettbewerb Innovationen, indem er die Leistungen von Cybersicherheitsforschern bzw. White Hackern anerkennt und für die Aufdeckung neuer Sicherheitslücken Preise im Gesamtwert von über 1 Million USD vergibt. Dies schafft Anreize für die weitere Forschung und Entwicklung und ermöglicht gleichzeitig praktische Erfahrungen, die Talente in der Cybersicherheitsbranche fördern und letztlich zu einer verbesserten globalen Cybersicherheitslandschaft beitragen.
Über den Wettbewerb
Die Teilnehmer (Forscherteams) am „Pwn2Own Automotive 2025“ Wettbewerb werden in vier separaten Kategorien Punkte sammeln: Tesla, Infotainment-Systeme im Fahrzeug (IVI), Ladegeräte für Elektrofahrzeuge (EV) und Betriebssysteme (OS).
Jeder Teilnehmer muss nachweisen, dass er in der Lage ist, beliebigen (Fehler)Code auf den zur Verfügung gestellten Zielgeräten oder -betriebssystemen in der von ihm gewählten Kategorie auszuführen. Während des Wettbewerbs sind bis zu drei Hacking-Versuche pro Zielsystem erlaubt. Für erfolgreiche Angriffsversuche gibt es Punkte, und der Teilnehmer oder das Team mit den meisten Punkten am Ende des Wettbewerbs erhält den renommierten Titel „Master of Pwn“.
Um für den Wettbewerb gewertet zu werden, müssen die angegriffenen Cyberschwachstellen bisher unbekannt, nicht veröffentlicht und/oder nicht gemeldet worden sein. Jede Abweichung von diesen Kriterien kann zu einer geringeren Gewinnsumme führen. Nur der jeweils erste Teilnehmer, der eine Cyberattacke in jeder Kategorie erfolgreich abschließt, hat Anspruch auf eine Geldprämie. Die Reihenfolge der Aufgaben wird nach dem Zufallsprinzip durch eine Auslosung bestimmt.
„Bei Trend ZDI forschen wir zum Thema cybersichere Fahrzeuge und beschäftigen uns mit realen Angriffsszenarien im Automobilsektor. Die Durchführung dieses Wettbewerbs in Zusammenarbeit mit VicOne, das über großes Fachwissen und viel Erfahrung im Bereich der Cybersicherheit in der Automobilindustrie verfügt, ist ein wichtiger Schritt, um unser Fachwissen im Bereich der Sicherheitsforschung innerhalb der Automobilindustrie und der Forschungs-Community zu demonstrieren.“, so Brian Gorenc, Vice President of Threat Research bei Trend Micro und verantwortlich für das ZDI-Programm.
VicOne’s CEO Max Cheng erklärt dazu: „Dank diesem gemeinsam mit der ZDI ins Leben gerufenen Wettbewerb, trägt VicOne dazu bei, eine cybersicherere Zukunft für softwaredefinierte Fahrzeuge (SDVs) zu schaffen. Durch die Entdeckung von Zero-Day-Schwachstellen ermöglicht diese Veranstaltung Sicherheitsforschern bzw. White Hackern, unbekannte, unveröffentlichte und bisher nicht gemeldete Cybersicherheitslücken bekannt zu machen, was eine frühzeitige Risikoerkennung und -minderung in der Automobilindustrie erleichtert. Solche Bemühungen sind für den globalen Automobilsektor von entscheidender Bedeutung, insbesondere da die Entwicklung von SDVs immer schneller voranschreitet.“
Über Pwn2Own Automotive 2025:
Um die Anmeldung abzuschließen, müssen die Teilnehmer ein Whitepaper einreichen, in dem die Verfahren und Ausführungsmethoden für den Hack der jeweiligen Sicherheitslücke („Exploit Chain“) beschrieben sind. Eine Online-Anmeldung sowie -teilnahme ist ebenfalls möglich.
Weitere Informationen über „Pwn2Own Automotive“ und die Wettbewerbsregeln finden Sie unter: https://www.zerodayinitiative.com/Pwn2OwnAuto2025Rules.html
Nach der äußerst erfolgreichen Premiere im Januar 2024, bei der 49 bisher unbekannte Cybersicherheitslücken (Zero-Day-Schwachstellen) entdeckt und an die jeweiligen Hersteller gemeldet wurden, wurde nun die zweite Ausgabe des „Pwn2Own Automotive“ Wettbewerbs angekündigt. Die Veranstaltung trägt dazu bei, eine Grundlage für die künftige Cybersicherheit in der Automobilindustrie zu schaffen, indem sie Cybersicherheitsmaßnahmen stärkt und die Prävention von Cybervorfällen durch die Entdeckung von Zero-Day-Schwachstellen fördert. Damit wird der wachsenden Gefahr von Cybersicherheitslücken und erhöhten Angriffsrisiken begegnet, die mit der Einführung von softwaredefinierten Fahrzeugen („Software-defined Vehicles“, SDVs) und softwaregesteuerten Fahrzeugfunktionen einhergeht.
Dank der Nutzung der ZDI-Plattform ermöglicht der Wettbewerb führenden Cybersicherheitsexperten, die neuesten Automobiltechnologien unter realen Bedingungen zu testen und anzugreifen. Durch die Identifizierung von Zero-Day-Schwachstellen, bevor sie auf dem Schwarzmarkt zirkulieren und für kriminelle Zwecke verwendet werden können, ermöglicht die Veranstaltung Fahrzeugherstellern und -zulieferern schnelle Gegenmaßnahmen, die dazu beitragen, Cyberangriffe zu verhindern und die allgemeine Sicherheit von Automobilprodukten zu verbessern.
Darüber hinaus fördert der Wettbewerb Innovationen, indem er die Leistungen von Cybersicherheitsforschern bzw. White Hackern anerkennt und für die Aufdeckung neuer Sicherheitslücken Preise im Gesamtwert von über 1 Million USD vergibt. Dies schafft Anreize für die weitere Forschung und Entwicklung und ermöglicht gleichzeitig praktische Erfahrungen, die Talente in der Cybersicherheitsbranche fördern und letztlich zu einer verbesserten globalen Cybersicherheitslandschaft beitragen.
Über den Wettbewerb
Die Teilnehmer (Forscherteams) am „Pwn2Own Automotive 2025“ Wettbewerb werden in vier separaten Kategorien Punkte sammeln: Tesla, Infotainment-Systeme im Fahrzeug (IVI), Ladegeräte für Elektrofahrzeuge (EV) und Betriebssysteme (OS).
Jeder Teilnehmer muss nachweisen, dass er in der Lage ist, beliebigen (Fehler)Code auf den zur Verfügung gestellten Zielgeräten oder -betriebssystemen in der von ihm gewählten Kategorie auszuführen. Während des Wettbewerbs sind bis zu drei Hacking-Versuche pro Zielsystem erlaubt. Für erfolgreiche Angriffsversuche gibt es Punkte, und der Teilnehmer oder das Team mit den meisten Punkten am Ende des Wettbewerbs erhält den renommierten Titel „Master of Pwn“.
Um für den Wettbewerb gewertet zu werden, müssen die angegriffenen Cyberschwachstellen bisher unbekannt, nicht veröffentlicht und/oder nicht gemeldet worden sein. Jede Abweichung von diesen Kriterien kann zu einer geringeren Gewinnsumme führen. Nur der jeweils erste Teilnehmer, der eine Cyberattacke in jeder Kategorie erfolgreich abschließt, hat Anspruch auf eine Geldprämie. Die Reihenfolge der Aufgaben wird nach dem Zufallsprinzip durch eine Auslosung bestimmt.
„Bei Trend ZDI forschen wir zum Thema cybersichere Fahrzeuge und beschäftigen uns mit realen Angriffsszenarien im Automobilsektor. Die Durchführung dieses Wettbewerbs in Zusammenarbeit mit VicOne, das über großes Fachwissen und viel Erfahrung im Bereich der Cybersicherheit in der Automobilindustrie verfügt, ist ein wichtiger Schritt, um unser Fachwissen im Bereich der Sicherheitsforschung innerhalb der Automobilindustrie und der Forschungs-Community zu demonstrieren.“, so Brian Gorenc, Vice President of Threat Research bei Trend Micro und verantwortlich für das ZDI-Programm.
VicOne’s CEO Max Cheng erklärt dazu: „Dank diesem gemeinsam mit der ZDI ins Leben gerufenen Wettbewerb, trägt VicOne dazu bei, eine cybersicherere Zukunft für softwaredefinierte Fahrzeuge (SDVs) zu schaffen. Durch die Entdeckung von Zero-Day-Schwachstellen ermöglicht diese Veranstaltung Sicherheitsforschern bzw. White Hackern, unbekannte, unveröffentlichte und bisher nicht gemeldete Cybersicherheitslücken bekannt zu machen, was eine frühzeitige Risikoerkennung und -minderung in der Automobilindustrie erleichtert. Solche Bemühungen sind für den globalen Automobilsektor von entscheidender Bedeutung, insbesondere da die Entwicklung von SDVs immer schneller voranschreitet.“
Über Pwn2Own Automotive 2025:
- Datum und Uhrzeit: Januar 〜24. Januar 2025
- Ort: Tokyo Big Site West Hall - Im Rahmen der 17. AUTOMOTIVE WORLD 2025
- Website: https://vicone.com/jp/pwn2own-automotive
Um die Anmeldung abzuschließen, müssen die Teilnehmer ein Whitepaper einreichen, in dem die Verfahren und Ausführungsmethoden für den Hack der jeweiligen Sicherheitslücke („Exploit Chain“) beschrieben sind. Eine Online-Anmeldung sowie -teilnahme ist ebenfalls möglich.
Weitere Informationen über „Pwn2Own Automotive“ und die Wettbewerbsregeln finden Sie unter: https://www.zerodayinitiative.com/Pwn2OwnAuto2025Rules.html
