在Pwn2Own黑客竞赛的第三天,安全研究人员唯一的目标就是今年刚加入竞赛名单的Tesla电动汽车,由Amat Cama与Richard Zhu组成的Fluoroacetate团队成功黑进了Tesla Model 3的浏览器,此举除了让他们赢得3.5万美元的奖金之外,还可把Tesla Model 3开回家。
今年的Pwn2Own黑客竞赛首度添加了汽车类别,攻击目标包括调制解调器、蓝牙或Wi-Fi、车载信息娱乐系统、自动驾驶系统、自动驾驶的服务阻断与感应钥匙等,奖金则从3.5万美元到25万美元不等。此次特斯拉赞助了一辆Tesla Model 3,率先攻击成功的团队即可将它开走,由于Fluoroacetate的对手KunnaPwn决定弃赛,等于拱手柄新车让给了Fluoroacetate团队。
Fluoroacetate团队锁定的是相对容易开采的车载信息娱乐系统,它采用的是基于Chromium的网络浏览器。安全高手加上放置于户外的全新Model 3吸引了众人的围观,该团队经过几分钟的设置,利用浏览器描绘引擎的即时编译(JIT)漏洞,成功于系统上显示了自己的消息,这让该团队抱走了3.5万美元的奖金与一辆Tesla汽车。
主办单位零时差倡议(Zero-Day Initiative,ZDI)表示,他们希望借由Tesla的创举能够鼓励更多与联网汽车有关的安全研究。
研究人员们在3天的攻击行动中总计成功地使用了19个零时差漏洞,获颁54.5万美元的奖金,光是Fluoroacetate团队便获得37.5万美元的奖金,夺下今年“破解大师”(Master of Pwn)的头衔。