Beim Pwn2Own-Hacking-Wettbewerb wurden zahlreiche Auto-Schwachstellen offengelegt. Darunter auch ein Tesla.
Während der ersten beiden Tage des jährlichen Hacking-Wettbewerbs haben Forschende aus 10 Ländern mehr als 22 Zero-Day-Bugs in verschiedenen Technologien gefunden. Beim Pwn2Own-Hacking-Wettbewerb in Vancouver zeigten Forschende der französischen Firma Synacktiv diese Woche zwei separate Angriffe auf den Tesla Model 3. Die Angriffe erlaubten einen tiefer gehenden Zugriff auf Subsysteme, die die Sicherheit des Fahrzeugs und andere Komponenten kontrollieren.
Einer der Angriffe nutzte eine Time-of-Check-to-Time-of-Use (TOCTTOU)-Attacke auf Teslas Gateway-Energiemanagementsystem aus, während der zweite Angriff eine Heap-Overflow-Schwachstelle und einen Fehler bei der Out-of-Bounds-Schreibweise in einem Bluetooth-Chipsatz ausnutzte, um in Teslas Infotainment-System einzudringen und von dort aus Root-Zugriff auf andere Subsysteme zu erlangen. Die Tesla-Schwachstellen waren Teil der insgesamt 22 Zero-Day-Schwachstellen, die Forschende aus zehn Ländern während der ersten beiden Tage des dreitägigen Pwn2Own-Wettbewerbs in dieser Woche aufdeckten.
Belohnungen für Schwachstellen variierten, wobei Schwachstellen in der Automobilkategorie die höchsten Belohnungen boten. Insbesondere erreichten die Forschenden mit den Schwachstellen in Teslas Systemen, einschließlich seines Infotainment-Systems, Gateways und Autopilot-Subsystemen, insgesamt 500.000 US-Dollar an Belohnungen. Die höchste Summe für ein einzelnes Ziel in der Geschichte von Pwn2Own wurde mit insgesamt 600.000 US-Dollar angeboten.
Neben Tesla wurden beispielsweise auch Bugs von VMware, Microsoft oder Zoom offengelegt. In den 16 Jahren des Wettbewerbs wurden 530 kritische Fehler im Code aufgedeckt, was mit 11,2 Millionen US-Dollar Preisgeld verbunden war.