特斯拉在 Pwn2Own 漏洞利用競賽中被黑兩次

  網絡滲透測試     |      2023-04-07 16:13

  攻擊性黑客商店 Synacktiv 的研究人員展示了成功的漏洞利用鏈,并能夠“完全攻陷”特斯拉的最新電動汽車,并在年度 Pwn2Own 競賽中名列前茅。

  法國攻擊性黑客商店 Synacktiv 的研究人員展示了一對針對特斯拉最新電動汽車的成功利用鏈,在一年一度的 Pwn2Own 軟件利用競賽中名列前茅。

  Pwn2Own 組織者證實,黑客成功利用了 Tesla-Gateway 和 Tesla-Infotainment 子系統中的缺陷,“完全攻陷”了一輛新的 Tesla Model 3 汽車。

  第一次特斯拉黑客攻擊,被描述為 TOCTOU(檢查時間到使用時間)競爭條件,為黑客贏得了 100,000 美元的現金獎勵和受損汽車的所有權。Synacktiv 表示,Tesla Model 3 網關已從以太網網絡完全被攻破。

  SecurityWeek消息人士稱,特斯拉安全響應團隊在活動現場并驗證了調查結果。預計該公司將通過車輛的自我更新系統發布修復程序。

  在加拿大溫哥華舉行的比賽的第二天,Synacktiv 的研究人員創建了一個利用鏈,該利用鏈使用堆溢出和帶外 (OOB) 寫入漏洞來彈出Tesla-Infotainment 系統。該黑客被描述為“Unconfined Root”,并為 Synacktiv 團隊贏得了 250,000 美元的現金獎勵。

圖片來源:零日計劃

  由于黑客攻擊中使用了復雜的漏洞利用鏈,Pwn2Own 的組織者趨勢科技的零日計劃 (ZDI) 將其評為 Pwn2Own 有史以來第一個 Tier2 獎項?!按_認的!@Synacktiv 使用堆溢出和 OOB 寫入來利用 Tesla 上的信息娛樂系統,”ZDI在 Twitter 上宣布?!爱斔麄兿蛭覀兲峁┰敿毿畔r,我們確定他們實際上有資格獲得二級獎項!他們贏得了 250,000 美元和 25 個 Master of Pwn 積分。第 2 層獎。出色的工作!”。

  在為期三天的黑客競賽中,Synacktiv 團隊總共贏得了 530,000 美元和特斯拉 Model 3 。

  這不是特斯拉第一次試圖在 Pwn2Own 吸引高級漏洞利用作者的注意力。早在 2019 年,該公司就向兩名展示成功攻擊的研究人員贈送了一輛特斯拉 Model 3?,今年,組織者計劃提高構成成功汽車黑客攻擊的復雜程度。

  今年,組織者希望吸引針對特斯拉調諧器、Wi-Fi、藍牙或調制解調器組件的攻擊。? ?

特別聲明:以上文章內容僅代表作者本人觀點,不代表新浪網觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與新浪網聯系。