Ερευνητές ασφαλείας μπόρεσαν να χακάρουν την Tesla και κέρδισαν ανταμοιβές ύψους 722.500 δολαρίων την πρώτη ημέρα του Pwn2Own Automotive 2024 (για την εύρεση τριών bug collisions και 24 μοναδικών zero-day exploits).
Συγκεκριμένα, η ομάδα Synacktiv (@Synacktiv) κέρδισε 100.000 $, αφού έδειξε πώς μπορεί να αποκτήσει κάποιος δικαιώματα root σε ένα Tesla Modem, συνδέοντας τρία zero-day σφάλματα.
Επιπλέον, οι ερευνητές χρησιμοποίησαν και άλλους συνδυασμούς δύο σφαλμάτων για να χακάρουν ένα Ubiquiti Connect EV Station και JuiceBox 40 Smart EV Charging Station. Χάρη σε αυτή την ανακάλυψη κέρδισαν επιπλέον 120.000 $.
Μια τρίτη αλυσίδα εκμετάλλευσης στόχευε το ChargePoint Home Flex EV charger. Αυτή η επίθεση ήταν ήδη γνωστή, αλλά απέφερε στους ερευνητές 16.000 $ δίνοντάς τους συνολικά 295.000 $ κατά τη διάρκεια της πρώτης ημέρας του διαγωνισμού Pwn2Own Automotive 2024.
Δείτε επίσης: Tesla Model Y: Το δημοφιλέστερο όχημα στην Ευρώπη για το 2023
Άλλοι ερευνητές κατάφεραν να χακάρουν ενημερωμένους σταθμούς φόρτισης EV και συστήματα infotainment. Η ομάδα NCC Group EDG κέρδισε 70.000 $ για την ανακάλυψη και χρήση zero-day ευπαθειών στο Pioneer DMH-WT7600NEX infotainment σύστημα και στο Phoenix Contact CHARX SEC-3100 EV charger.
Μετά την εκμετάλλευση και αναφορά των σφαλμάτων zero-day κατά τη διάρκεια του διαγωνισμού Pwn2Own, οι εταιρείες που έχουν παραβιαστεί, έχουν στη διάθεσή τους 90 ημέρες για να κυκλοφορήσουν ενημερώσεις ασφαλείας. Μετά από αυτό το χρονικό διάστημα, το Zero Day Initiative της TrendMicro αποκαλύπτει δημόσια τις ευπάθειες θέτοντας σε μεγαλύτερο κίνδυνο τα ευάλωτα συστήματα.
Ο διαγωνισμός hacking Pwn2Own Automotive 2024 επικεντρώνεται στις τεχνολογίες αυτοκινήτων και λαμβάνει χώρα αυτή την εβδομάδα στο Τόκιο.
Καθ’ όλη τη διάρκεια του διαγωνισμού, οι ερευνητές ασφαλείας θα μπορούν να στοχεύουν συστήματα In-vehicle Infotainment (IVI) της Tesla, φορτιστές ηλεκτρικών οχημάτων (EV) και λειτουργικά συστήματα αυτοκινήτου.
Οι ερευνητές θα παρουσιάσουν επίσης zero-day exploits που στοχεύουν σε συστήματα Tesla Model 3/Y (με βάση το Ryzen) ή Tesla Model S/X (με βάση το Ryzen), συμπεριλαμβανομένου του συστήματος infotainment, του modem, του tuner, του ασύρματου δικτύου και του αυτόματου πιλότου.
Δείτε επίσης: Tesla: Ακόμα μία προσαρμογή μισθολογικών αυξήσεων
Το κορυφαίο βραβείο του διαγωνισμού θα απονεμηθεί για VCSEC, gateway ή autopilot zero-days, με χρηματικό έπαθλο 200.000 $ και ένα αυτοκίνητο Tesla.
Το Pwn2Own Automotive είναι ένας διαγωνισμός που προωθεί την καινοτομία και την ασφάλεια στην αυτοκινητοβιομηχανία. Ένα από τα κύρια πλεονεκτήματα είναι ότι διεγείρει την έρευνα και την ανάπτυξη στον τομέα της ασφάλειας, καθώς οι συμμετέχοντες προσπαθούν να εντοπίσουν και να εκμεταλλευτούν ευπάθειες πριν το κάνουν κακόβουλοι χρήστες.
Επιπλέον, το Pwn2Own Automotive βοηθά στην ευαισθητοποίηση του κοινού για τα ζητήματα ασφάλειας που αντιμετωπίζουν τα σύγχρονα αυτοκίνητα. Επιτρέπει στους κατασκευαστές αυτοκινήτων να αντιληφθούν τις πιθανές απειλές και να διορθώσουν τις ευπάθειες εγκαίρως.
Δείτε επίσης: Tesla Cybertruck: Αυτονομία 160 μιλίων στην πρώτη δοκιμή ρυμούλκησης
Ωστόσο, ο διαγωνισμός μπορεί να δημιουργήσει μια ψευδαίσθηση ασφάλειας. Οι κατασκευαστές μπορεί να νιώθουν ότι τα αυτοκίνητά τους είναι ασφαλή επειδή έχουν δοκιμαστεί στο Pwn2Own, αλλά οι επιθέσεις στον πραγματικό κόσμο μπορεί να είναι πολύ διαφορετικές από τις συνθήκες δοκιμής. Επομένως, οι κατασκευαστές θα πρέπει να είναι συνεχώς σε επαγρύπνηση και να ελέγχουν τα συστήματα των οχημάτων τους.
Πηγή: www.bleepingcomputer.com
