Tesla в последние несколько лет активно инвестирует в свою кибербезопасность, и теперь компания вновь участвует в Pwn2Own, бросая вызов хакерам: взломать ее автомобили, предлагая около 1 миллиона долларов и несколько автомобилей Model 3.
В прошлом году Tesla посетила Ванкувер для участия в Pwn2Own, соревновании по хакингу, проводимом Zero Day Initiative (ZDI) от Trend Micro.
Компания предложила Model 3 тому, кто сможет найти и использовать определенные уязвимости в системе автомобиля.
Дуэт хакеров нацелился на информационно-развлекательную систему Tesla Model 3 и использовал «JIT-уязвимость в рендеринге» для получения контроля над системой.
Они уехали с совершенно новым Model 3.
Подобные соревнования с участием «белых» хакеров позволяют Tesla тестировать и улучшать свои системы безопасности, которые становятся все более важными в автомобилях, поскольку они превращаются в компьютеры на колесах.
Именно поэтому Tesla решила вернуться на Pwn2Own в этом году и сделать мероприятие еще более масштабным.
В сегодняшнем пресс-релизе Zero Day Initiative рассказали о прошлогоднем мероприятии и прокомментировали свои планы на этот год:
В прошлом году мы вызвали немало удивления, сотрудничая с Tesla и включив Model 3, самый продаваемый автомобиль в своем классе в США, в качестве цели, и в итоге присудили автомобиль двум талантливым исследователям. Мы хотели включить Tesla, потому что они пионеры концепции подключенного автомобиля и обновлений по воздуху почти десять лет назад, и с тех пор они лидируют в этой области.
В этом году Tesla возвращается на конкурс. Получить новый Model 3 будет сложнее, что означает и более высокие потенциальные награды. Microsoft также возвращается в качестве партнера, а VMware — в качестве спонсора с их несколько более традиционными целями Pwn2Own. Всего участникам доступно более 1 000 000 долларов США наличными и призами, включая новый автомобиль Tesla.
В этом году они сделали вызов Tesla намного сложнее:
[…] мы хотели повысить уровень сложности для мероприятия этого года. Автомобили Tesla оснащены несколькими уровнями защиты, и на этот раз в категории «Автомобили» предусмотрено три различных уровня наград, которые соответствуют различным уровням защиты в автомобиле Tesla, с дополнительными призами в определенных случаях.
Между первым уровнем и «дополнительными» целями кто-то или группа хакеров потенциально могут уйти с 700 000 долларов и новым Tesla Model 3:
Соревнование по взлому Tesla также включает два других уровня с меньшими, но также существенными денежными призами, а несколько целей также предусматривают возможность уехать на Model 3:
Соревнование пройдет в марте в Ванкувере, а заинтересованные лица могут ознакомиться с полными правилами конкурса здесь.
В течение последних пяти лет Tesla проводила программу поиска ошибок, и, по данным источников, знакомых с этим процессом, компания выплатила сотни тысяч долларов в качестве вознаграждений хакерам, выявившим уязвимости в ее системах.
Автопроизводитель увеличил максимальную выплату за один сообщенный баг до 15 000 долларов в 2018 году, а также предпринял важный шаг, чтобы заверить владельцев, которые взламывают свои собственные автомобили.
Tesla заявила, что не будет аннулировать гарантию, если автомобиль будет взломан для «предварительно одобренного добросовестного исследования безопасности».
Дэвид Лау, вице-президент по программному обеспечению автомобилей Tesla, прокомментировал их усилия:
Мы разрабатываем наши автомобили с высочайшими стандартами безопасности во всех отношениях, и наша работа с сообществом исследователей безопасности бесценна для нас. С момента запуска нашей программы поиска ошибок в 2014 году — первой, включающей подключенный потребительский автомобиль — мы постоянно увеличивали наши инвестиции в партнерские отношения с исследователями безопасности, чтобы гарантировать, что все владельцы Tesla постоянно получают выгоду от самых ярких умов в сообществе. Мы с нетерпением ждем возможности узнать и вознаградить выдающуюся работу на Pwn2Own, чтобы мы могли продолжать улучшать наши продукты и наш подход к разработке изначально безопасных систем.
Tesla также довольно быстро исправляла уязвимости, выявленные «белыми» хакерами.
В 2016 году мы сообщали о том, как китайская группа «белых» хакеров Keen Security Lab из Tencent сумела удаленно взломать Tesla Model S через вредоносную точку доступа Wi-Fi. Считается, что это был первый удаленный взлом автомобиля Tesla.
Хакеры сообщили об уязвимости Tesla до того, как информация стала общедоступной, и автопроизводитель довольно быстро выпустил обновление.