Tesla взломали — хакеры получили $100 000 и Model 3

Fred Lambert | Пятница, 24 марта, 2023, 02:24.

Tesla была успешно взломана на конференции Pwn2Own, а хакеры в процессе получили 100 000 долларов и Model 3, которую им удалось скомпрометировать.

В последние несколько лет Tesla много инвестировала в кибербезопасность и тесно сотрудничала с whitehat-хакерами. Автопроизводитель участвовал в соревнованиях по взлому Pwn2Own, предлагая крупные призы и свои электромобили для участников.

Взлом автомобилей, и в частности Tesla, уже несколько лет является неотъемлемой частью конференций по кибербезопасности.

Zero Day Initiative, организация, проводящая Pwn2Own, подтвердила, что этот год не стал исключением, и Tesla Model 3, которую они привезли, была успешно взломана:

Реклама — прокрутите дальше, чтобы увидеть больше контента

ПОДТВЕРЖДЕНО! @Synacktiv успешно применили TOCTOU-эксплойт против Tesla – Gateway. Они заработали 100 000 долларов, а также 10 очков Master of Pwn и эту Tesla Model 3. #Pwn2Own #P2OVancouver pic.twitter.com/W61NasJPAl

— Zero Day Initiative (@thezdi) 22 марта 2023 г.

Synacktiv подтвердили, что им удалось получить root-доступ к системе Tesla и, по их утверждению, «взять под контроль» весь автомобиль:

Завершив свой эксплойт в гостиничном номере, @_p0ly_ и @vdehors успешно скомпрометировали информационно-развлекательную систему Tesla Model 3 через Bluetooth и повысили свои привилегии до root! В сочетании с предыдущим действием это могла быть полная цепочка для захвата автомобиля!

Они поделились этим изображением своего тестового стенда информационно-развлекательной системы Model 3:

Лучший комментарий от crawdiddle

Понравилось 41 человеку

Каждая компания, участвующая в подобных мероприятиях, демонстрирует свою приверженность безопасности. Хорошо для Tesla и ее потребителей. И хорошо для других вовлеченных компаний.

Смотреть все комментарии

Pwn2Own подтвердили, что это был TOCTTOU-эксплойт, который описывается как:

Time-of-check-to-time-of-use (TOCTTOU – произносится как TOCK-ту) — это состояние гонки файлов, возникающее, когда ресурс проверяется на определенное значение, например, существует ли файл или нет, а затем это значение изменяется до использования ресурса, что делает результаты проверки недействительными.

Результаты таких whitehat-взломов всегда передаются компаниям, чтобы помочь сделать их продукты более безопасными.

Как уже упоминалось, Tesla вкладывает значительные средства в кибербезопасность.

Мы подробно рассмотрели усилия Tesla в области кибербезопасности в нашем отчете о «Большом взломе Tesla», когда хакеру удалось получить контроль над всем автопарком Tesla.