Em uma demonstração de 24 zero-days, o Tesla foi hackeado na Pwn2Own Automotive 2024, mais especificamente, um modem Tesla.
Pesquisadores de segurança hackearam um modem Tesla e receberam prêmios de US$ 722.500 no primeiro dia do Pwn2Own Automotive 2024 por três colisões de bugs e 24 explorações exclusivas de falhas zero-day.
Tesla foi hackeado na Pwn2Own Automotive 2024
A equipe Synacktiv (@Synacktiv) levou para casa US$ 100.000 depois de encadear com sucesso três bugs zero-day para obter permissões de root em um modem Tesla.
Eles também usaram duas cadeias exclusivas de dois bugs para hackear uma estação Ubiquiti Connect EV e uma estação de carregamento Smart EV JuiceBox 40, ganhando US$ 120.000 adicionais.
Uma terceira cadeia de exploração visando o carregador ChargePoint Home Flex EV já era conhecida, mas ainda assim rendeu US$ 16.000 em dinheiro, com um total de US$ 295.000 em prêmios durante o primeiro dia do concurso.
Os pesquisadores de segurança também hackearam com sucesso várias estações de carregamento de veículos elétricos e sistemas de info entretenimento totalmente corrigidos, com a equipe EDG do NCC Group ocupando o segundo lugar na tabela de classificação depois de ganhar US$ 70.000 pela exploração zero-day para hackear o sistema de infoentretenimento Pioneer DMH-WT7600NEX e o carregador Phoenix Contact CHARX SEC-3100 EV.
Depois que os bugs zero-day forem explorados e relatados durante a competição Pwn2Own, os fornecedores terão 90 dias para desenvolver e lançar correções de segurança antes que a Zero Day Initiative da TrendMicro os divulgue publicamente.
O concurso de hackers Pwn2Own Automotive 2024 concentra-se em tecnologias automotivas e acontece esta semana em Tóquio, no Japão, durante a conferência automotiva Automotive World, entre 24 e 26 de janeiro.
Durante a competição, os pesquisadores de segurança poderão direcionar os sistemas de infoentretenimento (IVI) para veículos Tesla, carregadores de veículos elétricos (EV) e sistemas operacionais automotivos (ou seja, Automotive Grade Linux, BlackBerry QNX, Android Automotive OS).
Eles também demonstrarão explorações zero-day visando sistemas Tesla Model 3/Y (baseado em Ryzen) ou Tesla Model S/X (baseado em Ryzen), incluindo o sistema de infoentretenimento, modem, sintonizador, wireless e piloto automático.
O prêmio principal será concedido para VCSEC, gateway ou piloto automático zero-days, com um prêmio em dinheiro de US$ 200.000 e um carro Tesla.
Você pode encontrar a programação completa do concurso de hacking automotivo deste ano aqui. A programação completa do primeiro dia e os resultados de cada desafio estão disponíveis aqui.
Durante a competição Pwn2Own Vancouver 2023 em março, pesquisadores de segurança ganharam US$ 1.035.000 e um carro Tesla Modelo 3 após demonstrar 27 zero-day (e várias colisões de bugs).