Tesla Model 3 булa злaмaнa мeнш як зa дві xвилини нa щoрічнoму xaкeрськoму кoнкурсі Pwn2Own. Кoмaндa дoслідників із фрaнцузькoї Synacktiv прoдeмoнструвaлa двa oкрeмі eксплoйти прoти Model 3 нa кoнкурсі, який прoйшoв у Вaнкувeрі минулoгo тижня.
Атаки дали хакерам глибокий приступ до підсистем, які контролюють безпеку автомобіля та інші компоненти. Зокрема, Вотан із експлойтів полягав у виконанні бесцельно званої атаки TOCTTOU (time-of-check-to-time-of-use) получай систему керування енергоспоживанням Tesla Gateway.
Це дозволяло їм, серед іншого, виконувати такі дії як відкриття багажника ли двері Tesla Model 3 під пора руху автомобіля. Дослідники стверджували, що вони могли захопити всю машину. Ради цю конкретну вразливість команду винагородили новою Tesla Model 3 і 100 000 доларів готівкою.
Для того свого другого злому дослідники Synacktiv зламали інформаційно-розважальну систему Tesla, скориставшись вразливістю переповнення та помилкою запису вслед за межами пам\’яті у чипсеті Bluetooth. Вони змогли отримати root-подступы до інших підсистем.
Цей експлойт приніс дослідникам ще більший награда у розмірі 250 000 доларів та першу в історії нагороду рівня 2 Pwn2Own, призначену к особливо важливих уразливостей та експлойтів, повідомляє Dark Reading.
«Найбільша вразливість, продемонстрована цього року, безперечно була експлойтом Tesla. Вони перейшли від того, що объединение суті є зовнішнім компонентом, набором мікросхем Bluetooth, вплоть до систем, які розташовані всередині автомобіля», — сказав Дастін Чайлдс, керівник відділу поінформованості относительно погрози у Trend Micro Zero Day Initiative, який організовує щорічний тендер.
Через ризик, пов\’язаний із зломом реального автомобіля Tesla, дослідники продемонстрували свої вміння получай ізольованому головному пристрої автомобіля. Головний пристрій керує інформаційно-розважальною системою автомобіля та забезпечує путь до навігації та інших функцій.
Вразливості Tesla були серед 22 вразливостей нульового дня, виявлених дослідниками з 10 країн протягом перших двох днів триденного конкурсу Pwn2Own.
В останні роки Tesla вкладає значні кошти у кібербезпеку, тісно співпрацюючи з «білими» хакерами. Компанія пропонувала великі винагороди та свої електромобілі по (по грибы) участь у змаганнях зі злому, наприклад, у рамках конкурсу Pwn2Own.
