Tesla는 Pwn2Own 해킹 이벤트에서 해킹을 당했고 해킹 그룹은 Tesla Model 3와 $100,000를 집으로 가져갔습니다.
전기 자동차와 상당한 양의 통합 소프트웨어가 일상 생활에서 보편화됨에 따라 전기 자동차 주변의 보안이 훨씬 더 중요해졌습니다. 최악의 경우 해커는 자동차에 접근할 수 있을 뿐만 아니라 사용자 데이터를 유출하거나 차량을 제어할 수도 있습니다. 이제 Pwn2Own 해킹 대회에서 해커 그룹이 Tesla Model 3를 성공적으로 해킹하여 100,000달러의 상금과 함께 차량을 획득했습니다.
Synactiv 그룹이 성공적으로 수행한 해킹은 처음에 Zero Day Initiative Twitter 계정에 의해 보고되었으며 그룹이 차량에 액세스하기 위해 TOCTOU 익스플로잇을 사용했음을 밝혔습니다.
첫날의 주요 하이라이트 중 하나 #Pwn2Own 2023년 밴쿠버: @Synacktiv 대 Tesla Model 3. 그들의 성공적인 시연은 그들에게 $100,000와 자동차 자체를 벌었습니다. pic.twitter.com/d7TY5mKHxK
— 제로 데이 이니셔티브(@thezdi) 2023년 3월 23일
확인! @Synacktiv Tesla – Gateway에 대한 TOCTOU 익스플로잇을 성공적으로 실행했습니다. $100,000와 Master of Pwn 포인트 10점, Tesla Model 3를 받습니다. #Pwn2Own #P2O밴쿠버 pic.twitter.com/W61NasJPAl
— 제로 데이 이니셔티브(@thezdi) 2023년 3월 22일
해킹 경쟁의 특성상 Tesla 소유자의 보안 위험을 피하기 위해 해킹이 어떻게 수행되었는지에 대한 세부 정보는 공개되지 않았습니다. 하지만 해커들이 사용한 방법은 비교적 간단했습니다.
TOCTOU(Time-Of-Check Time-Of-Use) 익스플로잇에는 시스템 액세스 권한을 얻기 위해 내부 파일을 변경하는 것이 포함됩니다. 본질적으로 해커는 누군가가 실제로 액세스할 수 있는지 확인하기 위해 시스템이 검사할 파일을 변경하고 있습니다. 예를 들어 여기에는 자신이 액세스할 수 있도록 로그인 자격 증명을 변경하는 것이 포함될 수 있습니다. 그러나 이름에서 알 수 있듯이 이것은 파일을 확인하는 시스템과 실제로 로그인한 사람 사이의 시간 불일치를 사용하기 때문에 매우 시간 의존적입니다.
Pwn2Own은 세계에서 가장 유명한 해킹 이벤트 중 하나입니다. 여기에는 시장에서 가장 인기 있는 소프트웨어에 대한 액세스 권한을 얻으려는 해커 팀이 포함됩니다. 해커 및 보안 연구원의 각 그룹에는 장치 및 소프트웨어 목록과 달성해야 할 일련의 목표가 제공됩니다. 목록을 탐색하는 첫 번째 팀은 상금을 얻습니다. 이 경우 경쟁의 이 단계를 가장 빨리 완료하여 Synactive 팀이 해킹한 Tesla Model 3를 획득했습니다.
소프트웨어가 우리가 운전하는 차량과 점점 더 상호 연결됨에 따라 소프트웨어를 안전하게 유지하는 데 초점을 맞추는 것이 시간이 갈수록 더 중요해질 것입니다. 그리고 이러한 자동차 시스템의 상호 연결성이 증가함에 따라 이러한 시스템을 안전하게 유지하지 않는 결과는 더욱 끔찍해질 것입니다. 바라건대, 자동차 제조업체는 이 위협을 심각하게 받아들이고 제품을 가능한 한 안전하게 유지하기 위해 계속 노력할 것입니다.
기사에 대해 어떻게 생각하세요? 의견, 질문 또는 우려 사항이 있습니까? william@으로 이메일을 보내주세요.윌리엄라이틴. 뉴스 팁이 있으면 로 이메일을 보내주세요!
Tesla 사이버 보안 조치 실패, 해커가 해킹 이벤트에서 Model 3 획득
