Alpine, fabrikant van infotainmentsystemen voor auto's, is niet van plan een kwetsbaarheid te verhelpen waardoor een fysiek aanwezige aanvaller zonder enige authenticatie willekeurige code als root op infotainmentsystemen kan uitvoeren. Volgens de fabrikant gaat het om een 'gedeeld risico'. De kwetsbaarheid, aangeduid als CVE-2024-23924, werd vorig jaar januari gedemonstreerd tijdens de hackwedstrijd Pwn2Own Automotive. Onderzoekers worden tijdens het evenement beloond voor het demonstreren van onbekende kwetsbaarheden in verschillende populaire producten en software.

De Alpine Halo9 iLX-F509 was één van de infotainmentsystemen waar onderzoekers uit konden kiezen. Meerdere onderzoekers wisten het Alpine-systeem te compromitteren. Na de demonstratie tijdens Pwn2Own worden de betreffende fabrikanten over de gedemonstreerde kwetsbaarheden ingelicht, zodat die updates kunnen ontwikkelen om het probleem te verhelpen.

CVE-2024-23924 betreft een kwetsbaarheid waardoor een 'fysiek aanwezige' aanvaller zonder authenticatie willekeurige code als root op het infotainmentsysteem kan uitvoeren. Securitybedrijf ZDI organiseert Pwn2Own en informeerde Alpine over het beveiligingslek. De fabrikant liet weten dat het niet van plan was om een patch uit te brengen. Het had de kwetsbaarheid geclassificeerd als 'Sharing the Risk'.

Dit jaar vindt Pwn2Own Automotive opnieuw plaats. Onderzoekers kunnen dit keer kiezen uit de Alpine iLX-507. Verschillende onderzoekers ontdekten dat CVE-2024-23924 ook in de meest recente versie van dit infotainmentsysteem aanwezig is, zo blijkt uit een wedstrijdverslag.