圖片來源: 

ZerodayInitiative

Pwn2Own駭客競賽的第三天,安全研究人員唯一的目標就是今年剛加入競賽名單的Tesla電動汽車,由Amat Cama與Richard Zhu組成的Fluoroacetate團隊成功駭進了Tesla Model 3的瀏覽器,此舉除了讓他們贏得3.5萬美元的獎金之外,還可把Tesla Model 3開回家。

今年的Pwn2Own駭客競賽首度新增了汽車類別,攻擊目標包括數據機、藍牙或Wi-Fi、車載資訊娛樂系統、自動駕駛系統、自動駕駛的服務阻斷與感應鑰匙等,獎金則從3.5萬美元到25萬美元不等。此次特斯拉贊助了一輛Tesla Model 3,率先攻擊成功的團隊即可將它開走,由於Fluoroacetate的對手KunnaPwn決定棄賽,等於拱手把新車讓給了Fluoroacetate團隊。

Fluoroacetate團隊鎖定的是相對容易開採的車載資訊娛樂系統,它採用的是基於Chromium的網路瀏覽器。資安高手加上置放於戶外的全新Model 3吸引了眾人的圍觀,該團隊經過幾分鐘的設定,利用瀏覽器描繪引擎的即時編譯(JIT)漏洞,成功於系統上顯示了自己的訊息,這讓該團隊抱走了3.5萬美元的獎金與一輛Tesla汽車。

主辦單位零時差倡議(Zero-Day Initiative,ZDI)表示,他們希望藉由Tesla的創舉能夠鼓勵更多與連網汽車有關的安全研究。

研究人員們在3天的攻擊行動中總計成功地使用了19個零時差漏洞,獲頒54.5萬美元的獎金,光是Fluoroacetate團隊便獲得37.5萬美元的獎金,奪下今年「破解大師」(Master of Pwn)的頭銜。


Advertisement

更多 iThome相關內容