Tesla Model 3 була зламана менш як за дві хвилини на щорічному хакерському конкурсі Pwn2Own. Команда дослідників із французької Synacktiv продемонструвала два окремі експлойти проти Model 3 на конкурсі, який пройшов у Ванкувері минулого тижня.
Атаки дали хакерам глибокий доступ до підсистем, які контролюють безпеку автомобіля та інші компоненти. Зокрема, один із експлойтів полягав у виконанні так званої атаки TOCTTOU (time-of-check-to-time-of-use) на систему керування енергоспоживанням Tesla Gateway.
Це дозволяло їм, серед іншого, виконувати такі дії як відкриття багажника або двері Tesla Model 3 під час руху автомобіля. Дослідники стверджували, що вони могли захопити всю машину. За цю конкретну вразливість команду винагородили новою Tesla Model 3 і 100 000 доларів готівкою.
Для свого другого злому дослідники Synacktiv зламали інформаційно-розважальну систему Tesla, скориставшись вразливістю переповнення та помилкою запису за межами пам'яті у чипсеті Bluetooth. Вони змогли отримати root-доступ до інших підсистем.
Цей експлойт приніс дослідникам ще більший приз у розмірі 250 000 доларів та першу в історії нагороду рівня 2 Pwn2Own, призначену для особливо важливих уразливостей та експлойтів, повідомляє Dark Reading.
«Найбільша вразливість, продемонстрована цього року, безперечно була експлойтом Tesla. Вони перейшли від того, що по суті є зовнішнім компонентом, набором мікросхем Bluetooth, до систем, які розташовані всередині автомобіля», - сказав Дастін Чайлдс, керівник відділу поінформованості про погрози у Trend Micro Zero Day Initiative, який організовує щорічний конкурс.
Через ризик, пов'язаний із зломом реального автомобіля Tesla, дослідники продемонстрували свої вміння на ізольованому головному пристрої автомобіля. Головний пристрій керує інформаційно-розважальною системою автомобіля та забезпечує доступ до навігації та інших функцій.
Вразливості Tesla були серед 22 вразливостей нульового дня, виявлених дослідниками з 10 країн протягом перших двох днів триденного конкурсу Pwn2Own.
В останні роки Tesla вкладає значні кошти у кібербезпеку, тісно співпрацюючи з «білими» хакерами. Компанія пропонувала великі винагороди та свої електромобілі за участь у змаганнях зі злому, наприклад, у рамках конкурсу Pwn2Own.