Pwn2Own Automotive から:Autel Maxicharger を乗っ取る
Synacktivの研究者がPwn2Own Automotive 2024で明らかにしたAutel Maxichargerのファームウェア(v1.32)の2つの脆弱性:BluetoothベースのRCEとWi-Fiのバックドア。Autelは、一般公開される前にファームウェア更新v1.35を提供しました。最初の脆弱性は、Bluetooth充電制御機能のクライアントメッセージ長さが制限されていないため、バッファーオーバーフローが発生し、長さチェックを追加することで修正されました。2番目の脆弱性は、Wi-Fi認証機能のバックドアを悪用し、ハードコードされた資格情報があり、v1.35で削除されました。両脆弱性ともGhidraを使用した逆コンパイルとファームウェアバージョンの比較によって特定されました。Autelの即座のパッチングは、セキュリティに対する彼らのコミットメントを示しています。EVチャージャーのセキュリティは、広く展開されるにつれてますます重要になり、Pwn2Own Automotive 2025はベンダーの改善状況を評価します。