Tesla telah digodam pada acara penggodaman Pwn2Own, dan kumpulan penggodaman telah membawa pulang Tesla Model 3 dan $100,000.
Memandangkan kenderaan elektrik dan sejumlah besar perisian bersepadunya telah menjadi lebih biasa dalam kehidupan seharian, keselamatan di sekelilingnya menjadi lebih kritikal. Dalam senario terburuk, penggodam bukan sahaja boleh mendapatkan akses kepada kereta tetapi boleh membocorkan data pengguna atau mengawal kenderaan itu. Kini, pada pertandingan penggodaman Pwn2Own, sekumpulan penggodam berjaya menggodam Tesla Model 3 dan memenangi kenderaan itu bersama-sama dengan hadiah $100,000.
Penggodaman yang berjaya diselesaikan oleh kumpulan Synactiv pada mulanya dilaporkan oleh akaun Twitter Zero Day Initiative, mendedahkan bahawa kumpulan itu telah menggunakan eksploitasi TOCTOU untuk mendapatkan akses kepada kenderaan itu.
Salah satu sorotan utama daripada Hari Pertama #Pwn2Own Vancouver 2023: @Synacktiv vs Model Tesla 3. Demonstrasi yang berjaya mereka memperoleh $100,000 dan kereta itu sendiri pic.twitter.com/d7TY5mKHxK
— Inisiatif Sifar Hari (@thezdi) 23 Mac 2023
DISAHKAN! @Synacktiv berjaya melaksanakan eksploitasi TOCTOU terhadap Tesla – Gateway. Mereka memperoleh $100,000 serta 10 mata Master of Pwn dan Tesla Model 3 ini. #Pwn2Own #P2OVancouver pic.twitter.com/W61NasJPAl
— Inisiatif Sifar Hari (@thezdi) 22 Mac 2023
Terima kasih kepada sifat persaingan penggodaman, butiran tentang cara penggodaman itu dilakukan belum didedahkan sepenuhnya untuk mengelakkan risiko keselamatan bagi pemilik Tesla. Namun, kaedah yang digunakan oleh penggodam adalah agak mudah.
Eksploitasi TOCTOU (Time-Of-Check Time-Of-Use) melibatkan mengubah fail dalaman untuk mendapatkan akses sistem. Pada dasarnya, penggodam sedang mengubah fail yang sistem akan semak untuk memastikan seseorang benar-benar harus mempunyai akses. Ini boleh, sebagai contoh, melibatkan menukar bukti kelayakan log masuk untuk membenarkan diri anda mengakses. Walau bagaimanapun, seperti namanya, ini sangat bergantung pada masa, kerana ia melibatkan penggunaan percanggahan masa antara sistem menyemak fail dan seseorang yang benar-benar log masuk.
Pwn2Own ialah salah satu acara penggodaman yang paling terkenal di dunia. Ia melibatkan pasukan penggodam yang cuba mendapatkan akses kepada beberapa perisian paling popular yang terdapat di pasaran. Setiap kumpulan penggodam dan penyelidik keselamatan akan diberikan senarai peranti dan perisian dan satu siri objektif untuk dicapai. Pasukan pertama yang menavigasi senarai mendapat hadiah wang tunai. Dalam kes ini, untuk melengkapkan langkah pertandingan ini paling cepat, pasukan Synactive memenangi Model Tesla 3 yang mereka godam.
Dengan perisian yang semakin saling berkaitan dengan kenderaan yang kita pandu, memfokuskan pada memastikan perisian tersebut selamat hanya akan menjadi lebih penting apabila masa berlalu. Dan dengan peningkatan kesalinghubungan sistem kereta ini, akibat daripada tidak memastikan sistem ini selamat hanya akan menjadi lebih teruk. Mudah-mudahan, pembuat kereta akan mengambil serius ancaman ini dan terus berusaha untuk memastikan barangan mereka selamat dan terjamin sebaik mungkin.
Apa pendapat anda tentang artikel tersebut? Adakah anda mempunyai sebarang komen, soalan atau kebimbangan? Tembak saya e-mel di william @WilliamWritin. Jika anda mempunyai petua berita, e-mel kami di !
Langkah keselamatan siber Tesla gagal, penggodam memenangi Model 3 pada acara penggodaman
