A kiberbiztonság szempontjából rendkívül fontos az etikus hackerek hozzájárulása, akik arra használják a tudásukat, hogy felhívják a figyelmet a különböző eszközökben és szolgáltatásokban rejlő biztonsági résekre, lehetőleg még azelőtt, hogy ártó szándékú aktorok is kihasználnák őket.
A kanadai Vancouverben a napokban zajlott le a Zero Day Initiative program Pwn2Own néven futott versenye, amelyben etikus hackerek mérhették össze a tudásukat, az egyik csapat pedig két súlyos biztonsági rést is felfedezett a Tesla Model 3 szoftverében.
Az elektromos autógyár több millió példányban értékesített kompakt autójának gyengeségeit egy francia kiberbiztonsági cég, a Synacktiv biztonsági szakemberei találták meg. Az egyik hátsó kaput az energiamenedzsmentért felelős Gateway rendszer rejtette, a kihasználásával pedig a tulajdonos közreműködése nélkül, távolról is kinyitható az autó első csomagtartója és ajtajai.
CONFIRMED! @Synacktiv successfully executed a TOCTOU exploit against Tesla – Gateway. They earn 0,000 as well as 10 Master of Pwn points and this Tesla Model 3. #Pwn2Own #P2OVancouver pic.twitter.com/W61NasJPAl
— Zero Day Initiative (@thezdi) March 22, 2023
A másik biztonsági rés a jármű infotainment rendszeréhez köthető, és elég tágasnak bizonyult ahhoz, hogy a hackerek hozzáférjenek a Model 3 irányításához, életveszélyessé téve az autót. A Synacktiv tagjait a felfedezésekért cserébe végül nemcsak az idehaza 19 millió forintos induló áron kapható kocsit nyerték meg, de 350 ezer dollárnyi (kb. 125 millió forint) pénzjutalmat is bezsebelhettek mellé.
CONFIRMED! @Synacktiv used a heap overflow & an OOB write to exploit the Infotainment system on the Tesla. When they gave us the details, we determined they actually qualified for a Tier 2 award! They win 0,000 and 25 Master of Pwn points. 1st ever Tier 2 award. Stellar work! pic.twitter.com/IPOnXG5S0u
— Zero Day Initiative (@thezdi) March 23, 2023
A jó hír, hogy a Tesla szponzorként vett részt a Trend Micro által szervezett rendezvényen, így a gyártó már hozzá is látott a biztonsági problémák kijavításához.
