Група хакерів змогла «заволодіти» Tesla Model 3 і 100 000 доларів готівкою — але це не те, про що ви могли подумати. Модель 3 EV було зламано в рамках конкурсу хакерів, у якому як автомобіль, так і гроші були виграні чесно і справедливо.
Подробиці
Конкурс Pwn2Own проводиться щорічно на конференції з безпеки у Ванкувері CanSecWest і, як кажуть, збирає найкращих хакерів і дослідників безпеки у світі. Кожна команда, яка бере участь у хакерській події, отримує список пристроїв і програмного забезпечення. Кожен успішний взлом приносить їм грошовий приз, а у випадку з Tesla найшвидша команда виграла автомобіль).
Вибір Tesla на конференції з безпеки є гострим, оскільки сучасні автомобілі все більше залежать від зв’язку. Разом з цим з’являються вразливості, які використовує команда-переможець, відома як Synacktiv.
Звичайно, щоб захистити власників Tesla, точні подробиці того, як команда зламала автомобіль, поки що не розкриваються. Pwn2OWN 2023 стверджує, що вони поділяться деталями того, як програмне забезпечення було скомпрометовано з відповідними розробниками, перш ніж дати їм 90 днів для випуску патчів безпеки. Після цього організація оприлюднить свої висновки.
Наразі ми знаємо, що експлойт був відносно простим хаком TOCTOU (Time-Of-Check Time-Of-Use). Якщо говорити простими словами, то така атака передбачає зміну внутрішніх файлів — наприклад, облікових даних — для отримання несанкціонованого доступу до систем автомобіля. Для цього хакер використовує розбіжність у часі між системою, яка перевіряє файли, і особою, яка фактично ввійшла в систему.
Пізніше твіт Synacktiv показав, як команда успішно скомпрометувала інформаційно-розважальну систему Tesla Model 3 через Bluetooth.
CONFIRMED! @Synacktiv successfully executed a TOCTOU exploit against Tesla – Gateway. They earn $100,000 as well as 10 Master of Pwn points and this Tesla Model 3. #Pwn2Own #P2OVancouver pic.twitter.com/W61NasJPAl
— Zero Day Initiative (@thezdi) March 22, 2023
