有特粉就有特黑,但有些特黑不一样,既有官方授权,而且黑的成功还有奖金拿。
这并不是开玩笑,这是国外一年一度的Pwn2Own网络安全大赛。特斯拉也已经不是第一次参加这种活动。
此次Pwn2Own2023,特斯拉带来了两台车 Model 3 ( 参数 丨 图片 )和 Model S 参赛。
而参赛者们只要发现车辆网络安全漏洞,不仅会拿到一定的比赛奖金,甚至可以直接把现场的攻击目标,即一辆Model 3或Model S开走,颇有点像是比武招亲,赢了就能抱得美人归的感觉。
当然了,Pwn2Own作为连续15年举办的活动,这些世界各地的顶尖网络高手们聚在一起,他们的“攻击”目标也不仅仅对着特斯拉猛攻。
微软、Mozilla、谷歌、Adobe、甲骨文、VMware、Ubuntu包括特斯拉在内都是Pwn2Own2023参赛者们的“攻击”对象,主办方把所有此次大赛的攻击目标共分为了9个类别,诸如汽车类、服务器类、企业程序类、网页浏览器类等等。
比赛当天这些参赛者的“攻击者”们会获得一台硬件设备和指定的软件程序,针对这9个攻击目标,主办方设计了19个比赛条目,参赛者每成功“黑”入一次,即可获得相应的奖金和积分。
而本届比赛总计主办方总计准备了108万美元奖金!
这些奖金其实也分别来自不同的参赛赞助商品牌们,比如虚拟化程序类别中著名的北美虚拟PC软件公司VMware给出了两项攻击目标以及23万美元的奖金。
微软则给出了系统管理程序Hyper-V作为攻击目标,并悬赏30万美金。
而Pwn2Own的汽车类别中针对特斯拉的两台产品,赛事专门设计了三种不同安全攻击等级,你可以简单理解为一二三,三等奖项。
一等奖,参赛者们通过需要一个非常复杂的漏洞链,来完全黑入车辆内部,要能够证明在特斯拉车内三个不同的域控制器系统中执行任意代码,如此即可获得最高奖项(60万美金)以及一辆特斯拉产品。
二等奖,不需要黑入特斯拉车内全部的三个不同的域控制器系统,但需要黑入特斯拉车内两个不同的域控制器,并在其上执行任意代码,此项最高奖励是40万美元以及同样一台特斯拉产品。
三等奖,只需要黑入特斯拉车内一个域控制器系统即可,以及同样有机会开走一辆特斯拉。
而在为期三天的比赛中,一个法国网络安全团队Synacktiv共发现了两个来自特斯拉Model 3车上的安全漏洞。
第一个安全漏洞,来自于Synacktiv团队在特斯拉的信息娱乐系统的发现,通过这个漏洞他们可以获得对特斯拉信息娱乐系统中其他子系统的根访问权。
这个安全漏洞的发现也让Synacktiv团队拿到了25万美元的奖金。
第二个安全漏洞,Synacktiv团队通过对特斯拉能源系统的网关接口(TOCTOU)进行攻击时,他们发现了在资源检查和使用之间的小时间窗口中,攻击者可以短时间内未经授权访问或修改软件资源,据称可以做到在特斯拉Model 3行驶过程中开启车门。
而此安全漏洞的发现,也让他们获得了直接10万美元的现金奖励以及一辆全新的特斯拉Model 3。
在行驶中被开启车门,虽然不像《速度与激情》里百车狂奔的惊人大场面,但对于特斯拉车主来说也是够刺激的了。
可以说这种邀请白帽黑客测试其车辆的安全系统的方式,对于厂家来说是非常有利的,这是一个收集有关潜在漏洞的宝贵信息,并进而开发更周密的网络安全防御措施的大好机会。
而智能汽车发展到今天,利用网络安全漏洞侵入车辆也并不是一件稀奇事,此前已有多类新闻。当然或许是特斯拉在智能电动车领域的风头太盛,一些白帽子黑客也总喜欢拿特斯拉当作展示技术水平的典型。
比如此前国外一家名为nccgroup的网络安全公司曾发文称,他们利用蓝牙BLE 通信的方式,成功破解特斯拉Model 3和 Model Y 车门系统,且不仅顺利打开车门,还能启动电机直接把车开走,前后用时不过10秒。
而更早前德国一家名为ADAC车辆安全机构,也曾以这种方式测试了大概500辆配备无钥匙系统的车型,结果是只有 5% ,约25台车型成功防御了这种攻击。
虽然没给出具体哪些车型没有通过测试,但ADAC最后给出的总结是:“偷车太容易了……”
热门跟贴