Du Pwn2Own Automotive : Prendr... Note

Du Pwn2Own Automotive : Prendre le contrôle de l'Autel Maxicharger

Deux vulnérabilités dans le firmware Autel Maxicharger (v1.32) ont été divulguées par les chercheurs de Synacktiv au Pwn2Own Automotive 2024 : une exécution de code à distance via Bluetooth et une backdoor Wi-Fi. Autel a répondu avec une mise à jour du firmware v1.35 avant la divulgation publique. La première vulnérabilité impliquait une overflow de buffer en raison d'une longueur de message client non restreinte dans la fonction de contrôle de charge Bluetooth, qui a été corrigée en ajoutant une vérification de longueur. La deuxième vulnérabilité exploitait une backdoor dans la fonction d'authentification Wi-Fi avec des informations d'identification en dur, qui a été supprimée dans v1.35. Les deux vulnérabilités ont été identifiées grâce à l'ingénierie inverse utilisant Ghidra et en comparant les versions de firmware. La réaction rapide d'Autel pour corriger ces vulnérabilités démontre son engagement en faveur de la sécurité. La sécurité des chargeurs de véhicules électriques est cruciale alors qu'ils deviennent largement déployés, et le Pwn2Own Automotive 2025 évaluera les améliorations des vendeurs.