Samochody elektryczne marki Tesla staną się celem ataków hakerskich podczas kolejnej edycji konkursu Pwn2Own. Najlepsi specjaliści w tej branży powinni czuć się zmotywowani, ponieważ pokonanie zabezpieczeń amerykańskiego giganta pozwoli wygrać nawet 600 tysięcy dolarów oraz auto Tesla Model 3.
Fortuna i samochód za udany cyberatak na Teslę
Pwn2Own to coroczny konkurs dla hakerów, który jest częścią konferencji na temat cyberbezpieczeństwa CanSecWest. W tym roku event odbędzie się na terenie obiektu Sheraton Wall Center w Vancouver i będzie realizowany w trybie hybrydowym, czyli zarówno stacjonarnie, jak i zdalnie w dniach 22-24 marca 2023 roku.
Nadchodzące wydarzenie zapowiada się niezwykle interesująco, ponieważ potwierdzono, że jednym z partnerów będzie Tesla, czyli koncern znany na całym świecie z produkcji aut elektrycznych. Tym razem hakerzy wezmą „na warsztat” dwa samochody tej marki — Model 3 (oparty na procesorze Intel lub AMD) oraz Model S (oparty na AMD) i będą mogli wykazać się swoimi umiejętnościami w tworzeniu zaawansowanych exploitów, czyli programów, które wykorzystują istniejące w oprogramowaniu błędy.
Organizator wraz z amerykańską firmą podzielił konkurs na 3 poziomy, gdzie najtrudniejszy jest poziom pierwszy, w którym do zdobycia jest najwięcej punktów, bo aż 50. Taką ilość otrzyma uczestnik, którego kod pokona szereg systemów w samochodzie i przejmie nad nim kontrolę.
Zadanie nie należy do najprostszych, ponieważ wymaga stworzenia złożonego łańcucha exploitów, który wykorzysta tuner, Wi-Fi, Bluetooth lub modem Tesli jako wektor początkowy, pozwalający uzyskać dostęp do systemu informacyjno-rozrywkowego pojazdu, by uruchomić złośliwe oprogramowanie przeciwko VCSEC, Gateway lub funkcji autopilota.
Jeżeli to zadanie się powiedzie, zawodnik otrzyma wskazaną ilość oczek i będzie uprawniony do odbioru nagrody pieniężnej w wysokości 500 tysięcy dolarów oraz nowej Tesli Model 3.
Przejście tego etapu będzie także furtką do udziału w kolejnych zadaniach, które umożliwią uzyskanie większej ilości punków, co z kolei pozwoli podnieść wysokość wypłaty nawet do 600 tysięcy dolarów. Na tym etapie liczyć się będzie skuteczny atak na magistralę CAN, system Infotainment lub na autopilota. Warto podkreślić, że jest to najwyższy pojedynczy cel do zdobycia podczas eventu Pwn2Own 2023.
Przejęcie samochodu może być karkołomnym przedsięwzięciem, dlatego przygotowano rownież dwa inne poziomy rywalizacji, w których zadania są nieco mniej złożone, co też — rzecz jasna — wpływa na wysokość nagród. Największa pojedyncza wygrana dla poziomu 2. wyniesie 400 tysięcy dolarów, a dla 3. maksymalnie 100 tysięcy dolarów.
Tesla była już dwukrotnie pokonana podczas Pwn2Own
Pierwszy raz miał miejsce w 2019 roku, czyli w czasie, gdzie Model 3 wchodził do sprzedaży. Właśnie wtedy Amata Camy i Richard Zhu przełamali zabezpieczenia samochodu wykorzystując błąd JIT w procesie renderowania przeglądarki. Przyniosło to ambitnemu duetowi nie tylko sławę i uznanie, ale też nowy samochód oraz 35 tysięcy dolarów. Podczas całego eventu hakerzy zarobili 375 tysięcy dolarów w nagrodach pieniężnych, ponieważ całkowicie zdominowali trzydniowy konkurs, zdobywając łącznie 36 punktów w klasyfikacji „Master of Pwn”.
W 2022 roku laur zwycięstwa przypadł zespołowi Synacktiv z Francji, który napisał exploit pozwalający przejąć kontrolę nad autem, ale w ograniczonym zakresie — badaczom udało się uruchomić wycieraczki przedniej szyby Modelu 3, otworzyć bagażnik oraz błysnąć reflektorami. Ze względu na mniejszą złożoność oprogramowania zespół otrzymał jedynie 75 tysięcy dolarów.
Czy w tym roku będzie 3:0 dla hakerów? Tego nie wiem. Wiem jednak to, że jeżeli nie uda się z Teslą, to uczestnicy będą mogli poszukać profitów w innych kategoriach konkursu. Muszą pamiętać jednak o tym, że kto pierwszy, ten lepszy, gdyż tylko najszybszy uczestnik, który pomyślnie skompromituje wybrany cel, zdobywa przypisaną do niego nagrodę.