趨勢科技公布Zero Day Initiative(ZDI)漏洞懸賞計畫2019年Pwn2Own Vancouver春季漏洞研究競賽細節。2019年的競賽將與Tesla合作增加一個全新的汽車類別,此外除了VMware的贊助,也將繼續和Microsoft合作。參賽者將有機會獲得總獎額一百萬美元以上的獎金和獎品。
繼2018年Pwn2Own Tokyo鎖定IoT資安議題、並將消費性IoT裝置列入攻擊目標之後,今年的Pwn2Own Vancouver將再列入Tesla Model 3這款美國去年最暢銷的豪華房車,成為駭客競賽的攻擊目標之一。
Tesla在2012年率先將無線軟體更新的概念導入汽車,至今,該公司已發布過數百次無線更新來讓Tesla的汽車更聰明、更迅速、更安全,也更充滿駕駛樂趣。此次能邀請到 Tesla參與這項競賽的協辦,象徵著連網裝置新時代又跨出新的一步。
趨勢科技資深漏洞研究總監Brian Gorenc表示,自2007年以來,Pwn2Own已成了業界頂尖的一項駭客競賽,專門鼓勵今日最關鍵平台一些新的漏洞研究領域。幾年下來,競賽的攻擊目標和類別已增加不少,希望能將研究引導至企業及消費者日益面臨的嚴重問題。2019年,也和科技界的一些最大品牌合作,加碼投資這塊領域,持續推動相關的漏洞研究。
經由這些合作夥伴,一些新的平台也加入了該競賽的攻擊目標清單,包括:虛擬化平台、企業應用程式、網頁瀏覽器等等。以下就是完整的攻擊目標清單:
‧ 汽車類別:Tesla Model 3
‧ 虛擬化類別:Oracle VirtualBox、VMware Workstation、VMware ESXi、Microsoft Hyper-V 用戶端
‧ 瀏覽器類別:Google Chrome、Microsoft Edge、Apple Safari、Mozilla Firefox
‧ 企業應用程式類別:Adobe Reader、Microsoft Exchange 365、Microsoft Outlook
‧ 伺服器端類別:Microsoft Windows RDP
Tesla車用軟體副總裁 David Lau 表示,Tesla在各方面皆以最高安全標準來打造,而與資安研究社群的合作也相當寶貴。自從在2014年推出第一個納入連網消費性車款的漏洞懸賞計畫以來,便持續加碼投資並與資安研究人員攜手確保所有Tesla車主都能不斷受惠於這些頂尖專家的研究。非常期待能在Pwn2Own看到一些傑出的研究並給予獎勵,以便能夠持續改進產品,提升系統原生安全設計。
從2019年Pwn2Own新增的項目就能看出趨勢科技對連網世界安全的專注,以及與該領域主要廠商合作的決心。該公司近期也宣佈了多項其他相關計畫,包括與Moxa Inc.合作成立一家新公司,以及協助IoT裝置廠商在開發過程當中直接解決裝置資安問題。