テスラは Pwn2Own ハッキング イベントでハッキングされ、ハッキング グループはテスラ モデル 3 と 10 万ドルを持ち帰りました。
電気自動車とその大量の統合ソフトウェアが日常生活でより一般的になるにつれて、それらを取り巻くセキュリティは非常に重要になっています。 最悪のシナリオでは、ハッカーが車にアクセスするだけでなく、ユーザー データを漏えいしたり、車を制御したりする可能性さえあります。 現在、Pwn2Own ハッキング コンテストで、ハッカーのグループがテスラ モデル 3 のハッキングに成功し、10 万ドルの賞金と共に車両を獲得しました。
グループ Synactiv によるハッキングの成功は、Zero Day Initiative の Twitter アカウントによって最初に報告され、グループが TOCTOU エクスプロイトを使用して車両へのアクセスを取得したことが明らかになりました。
初日からの主なハイライトの 1 つ #Pwn2Own バンクーバー 2023: @Synacktiv vs Tesla Model 3. 彼らのデモンストレーションが成功したことで、100,000 ドルと自動車自体が得られました。 pic.twitter.com/d7TY5mKHxK
— ゼロデイ イニシアチブ (@thezdi) 2023 年 3 月 23 日
確認済み! @Synacktiv Tesla – Gateway に対する TOCTOU エクスプロイトの実行に成功しました。 彼らは $100,000 だけでなく、10 マスター オブ Pwn ポイントとこのテスラ モデル 3 を獲得します。 #Pwn2Own #P2Oバンクーバー pic.twitter.com/W61NasJPAl
— ゼロデイ イニシアチブ (@thezdi) 2023 年 3 月 22 日
ハッキング競争の性質上、Tesla 所有者のセキュリティ リスクを回避するために、ハッキングの実行方法の詳細は完全には公開されていません。 それでも、ハッカーが使用した方法は比較的簡単でした。
TOCTOU (Time-Of-Check Time-Of-Use) エクスプロイトには、内部ファイルを変更してシステム アクセスを取得することが含まれます。 本質的に、ハッカーは、誰かが実際にアクセスできるようにするためにシステムがチェックするファイルを変更しています. これには、たとえば、ログイン資格情報を変更して、自分自身がアクセスできるようにする必要があります。 ただし、名前が示すように、システムがファイルをチェックする時間と実際にログインしている人の間の時間の不一致を利用するため、これは時間に大きく依存します。
Pwn2Own は、世界で最も有名なハッキング イベントの 1 つです。 これには、市場で入手可能な最も人気のあるソフトウェアのいくつかにアクセスしようとするハッカーのチームが含まれます。 ハッカーとセキュリティ研究者の各グループには、デバイスとソフトウェアのリストと、達成すべき一連の目標が与えられます。 リストを最初にナビゲートしたチームは、賞金を獲得します。 この場合、競合のこのステップを最速で完了したため、Synactive チームはハッキングした Tesla Model 3 を獲得しました。
ソフトウェアが私たちが運転する車両とますます相互接続されるようになるにつれて、そのソフトウェアを安全に保つことに重点を置くことは、時間が経つにつれてますます重要になります。 そして、これらの自動車システムの相互接続性が高まるにつれて、これらのシステムを安全に保たないことの結果は、より悲惨なものになるだけです。 願わくば、自動車メーカーがこの脅威を真剣に受け止め、自社製品を可能な限り安全に保つために引き続き取り組んでくれることを願っています。
記事についてどう思いますか? ご意見、ご質問、または懸念事項はありますか? william @ にメールを送ってくださいウィリアム・ライト. ニュースのヒントがある場合は、 までメールでお問い合わせください。
テスラのサイバーセキュリティ対策が失敗、ハッカーがハッキング イベントでモデル 3 を獲得