趨勢科技於上週舉辦 Pwn2Own 駭客大賽展現科技創新實力,全球 10 億以上的企業及一般使用者都將因此競賽而獲得更優異的資安防護。
趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫每年都會舉辦這項大賽,今年是 Pwn2Own 的第 15 屆,總共提供 115萬5千美元的獎金來獎勵參賽的產業研究人員,為包括 Microsoft、Tesla、Zoom 等合作夥伴與贊助商 VMware 在內的軟體廠商揭露了 25 個零時差漏洞。
這項年度盛會專門鼓勵全球頂尖漏洞研究人員,針對企業軟體發掘各種熱門應用程式的最新漏洞,讓廠商能夠預先修補漏洞以防止被駭客利用。而賽中所挑選的軟體是為了鼓勵研究人員將心力集中在一些對全球企業及一般使用者最重要的領域。
趨勢科技營運長 Kevin Simzer 表示:「遠距上班將成為常態,而電動車的時代也已經來臨,不論這些運算裝置所在的位置為何,我們希望能夠確保這些運算領域背後的軟體安全無虞。不僅是對我們和我們的客戶,對於整個 IT 產業與每天使用這些軟體的所有使用者,Pwn2Own 駭客大賽所提供的威脅情報是非常珍貴的資訊。」
發掘網路駭客如何利用新的方法來攻擊關鍵應用程式,同樣也有助於趨勢科技不斷創新,其中也包括了車用資安領域。對此,趨勢科技旗下車用資安子公司 VicOne 執行長鄭奕立表示:「在全球進入電動車世代之際,聯網汽車相關的系統漏洞與威脅將逐漸浮上檯面。透過 Pwn2Own 這樣的頂尖競賽,將有助於我們探索已知和未知的汽車資安威脅,進而深入地分析並研究未來可能的駭客攻擊手法,並進一步產出修補和防禦方案。」
在今年 Pwn2Own 的電動車類別競賽中,共有兩支參賽隊伍挑戰 Tesla Model 3車用資訊娛樂系統與乙太網診斷系統的漏洞。根據VicOne研究團隊的觀察,車用資訊娛樂系統(In-Vehicle Infotainment system,IVI system)元件可被駭客遠端鎖定並利用來進行攻擊,並且IVI所使用類似手機或電腦的作業系統,相較於在電子控制單元 (ECU) 中使用的高度專業化的作業系統,更容易讓駭客上手並利用漏洞發動攻擊。
另一點值得注意的是,目前市場上已經出現可疑分子販售用於解鎖 IVI 功能的漏洞,供應商更需與專業資安團隊合作以加速強化資安防禦進程。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!