特斯拉在Pwn2Own黑客活动中被黑了,黑客小组将一辆特斯拉Model 3和10万美元带回家。
随着电动汽车及集成的大量软件在日常生活中变得越来越普遍,围绕它们的安全问题也明显变得更加关键。最坏情况下,黑客不仅可以进入汽车,还可能泄露用户数据,甚至接管控制车辆。日前,在Pwn2Own黑客大赛上,一个黑客小组成功侵入了一辆特斯拉Model 3,并赢得了这辆车以及10万美元的奖金。
由Synacktiv小组成功完成的黑客攻击最初由名为零日计划(Zero Day Initiative)的推特账号报出,揭示了该小组使用TOCTOU漏洞获得了对车辆的访问权。
由于黑客竞赛的性质,如何进行黑客攻击的细节并没有完全公开,以避免给特斯拉车主带来安全风险。不过,黑客们使用的方法还是相对简单的。
TOCTOU(Time-Of-Check Time-Of-Use)漏洞涉及改变内部文件以获得系统访问权。从本质上讲,黑客改变的是系统将进行检查以确保某人实际上应该有访问权的文件。譬如,这可能涉及改变登录凭证以允许自己访问。然而,顾名思义,这与时间高度相关,因为它涉及到利用系统检查文件和一个人实际登录进系统之间的时间差。
Pwn2Own是世界上最著名的黑客活动之一。活动的目标是黑客团队要黑入市场上一些最流行的软件,获取对软件的控制。每组黑客和安全研究人员都会得到一份设备和软件的清单,以及一系列需要实现的目标。第一个完成清单的团队将获得现金奖励。在这次活动中,由于最快完成了比赛的这一步,Synacktiv团队赢得了他们黑入的特斯拉Model 3。
由于软件与我们所驾驶的车辆之间的相互联系越来越紧密,随着时间的推移,保持软件的安全只会变得更加重要。随着这些汽车系统的互联性越来越强,系统安全的漏洞造成的后果只会变得更加可怕。真心地希望,汽车制造商能认真对待这一威胁,并继续努力使自己的项目尽可能安全可靠。
文章出处
本文译自teslarati.com 2023-03-23 刊发的文章:Tesla cybersecurity measures fail, hackers win Model 3 at hacking event,作者:William Johnson。点击“阅读原文”可以查看原文。
译者后记