特斯拉在 Pwn2Own 黑客活动中遭到黑客攻击,黑客组织将一辆特斯拉 Model 3 和 10 万美元带回家。
随着电动汽车及其大量集成软件在日常生活中变得越来越普遍,它们周围的安全性变得更加重要。 在最坏的情况下,黑客不仅可以访问汽车,还可以泄露用户数据甚至控制车辆。 现在,在 Pwn2Own 黑客竞赛中,一群黑客成功破解了特斯拉 Model 3 并赢得了车辆和 100,000 美元的奖金。
由 Synactiv 组织成功完成的黑客攻击最初是由零日倡议 Twitter 帐户报告的,表明该组织使用了 TOCTOU 漏洞来获得对车辆的访问权限。
第一天的主要亮点之一 #Pwn2Own 温哥华 2023: @Synacktiv 与特斯拉 Model 3 的对比。他们成功的演示为他们赢得了 100,000 美元和汽车本身 pic.twitter.com/d7TY5mKHxK
— 零日计划 (@thezdi) 2023 年 3 月 23 日
确认的! @Synacktiv 成功地对 Tesla – Gateway 执行了 TOCTOU 攻击。 他们赚取 100,000 美元以及 10 个 Master of Pwn 积分和这辆 Tesla Model 3。 #Pwn2Own #P2O温哥华 pic.twitter.com/W61NasJPAl
— 零日计划 (@thezdi) 2023 年 3 月 22 日
由于黑客竞赛的性质,黑客如何执行的细节尚未完全公开,以避免给特斯拉车主带来安全风险。 不过,黑客使用的方法相对简单。
TOCTOU(Time-Of-Check Time-Of-Use)漏洞利用涉及更改内部文件以获得系统访问权限。 从本质上讲,黑客正在更改系统将检查的文件,以确保有人确实应该有权访问。 例如,这可能涉及更改登录凭据以允许您自己访问。 然而,顾名思义,这是高度依赖于时间的,因为它涉及使用系统检查文件和实际登录的人之间的时间差异。
Pwn2Own 是世界上最著名的黑客事件之一。 它涉及试图访问市场上一些最流行的软件的黑客团队。 每组黑客和安全研究人员都将获得一份设备和软件清单以及一系列要实现的目标。 第一个浏览列表的团队将获得现金奖励。 在这种情况下,为了最快完成这一步比赛,Synactive 团队赢得了他们破解的特斯拉 Model 3。
随着软件与我们驾驶的车辆的相互联系越来越紧密,随着时间的推移,专注于保持软件安全只会变得越来越重要。 随着这些汽车系统之间的相互联系日益紧密,不确保这些系统安全的后果只会变得更加可怕。 希望汽车制造商认真对待这一威胁,并继续努力确保他们的产品尽可能安全。
你觉得这篇文章怎么样? 您有任何意见、问题或疑虑吗? 给我发电子邮件到 william @威廉·林汀. 如果您有新闻提示,请发送电子邮件至 !
特斯拉网络安全措施失败,黑客在黑客活动中赢得 Model 3
