Una coppia di ricercatori della sicurezza ha dominato Pwn2Own, l’annuale concorso di hacking di alto profilo. Il loro bottino è stato di $ 375.000 in premi, tra cui un Tesla Model 3. Questa è la loro ricompensa per aver esposto con successo una vulnerabilità nel sistema di infotainment del veicolo elettrico.
Tesla ha consegnato la sua nuova berlina Model 3 a Pwn2Own quest’anno. È la prima volta che una vettura viene inclusa nella competizione. Pwn2Own è al dodicesimo anno ed è gestito da Zero Day Initiative di Trend Micro. ZDI ha assegnato più di $ 4 milioni per tutta la durata del programma.
La coppia di hacker Richard Zhu e Amat Cam, conosciuta come il team Fluoroacetate, “entusiasmarono la folla riunita” mentre entravano nel veicolo. Dopo pochi minuti di installazione, hanno dimostrato con successo le vulnerabilità sul broswer Web di Model 3.
La coppia usava un bug JIT nel renderer per mostrare il loro messaggio, e hanno vinto il premio che comprendeva l’auto stessa. In termini più semplici, un JIT o un bug just-in-time, ignora i dati di randomizzazione della memoria che normalmente terrebbero protetti i segreti.
“Siamo entrati nel Model 3 nella famosa competizione Pwn2Own per coinvolgere i membri più talentuosi della comunità di ricerca sulla sicurezza. Durante la competizione, i ricercatori hanno dimostrato una vulnerabilità nei confronti del browser web in-car “, ha dichiarato Tesla in una dichiarazione inviata via email.
“Ci sono diversi livelli di sicurezza all’interno delle nostre auto che hanno funzionato come progettato e hanno contenuto con successo la dimostrazione solo per il browser, proteggendo al contempo tutte le altre funzionalità del veicolo. Nei prossimi giorni pubblicheremo un aggiornamento software che affronta questi problemi. Comprendiamo che questa dimostrazione ha richiesto uno sforzo e un’abilità straordinarie, e ringraziamo questi ricercatori per il loro lavoro. “