Hackerversenyre gurult be egy Tesla

A Pwn2Own hackerversenyen idén is igazi csillaghullást láthattunk. Még egy Tesla Model 3 is a fehérkalaposok célkeresztjébe került.
 

A Pwn2Own hackerversenynek évek óta a kanadai CanSecWest konferencia ad otthont. Az idei, immár három napos esemény iránt is meglehetősen nagy volt az érdeklődés. A Trend Micro Zero Day Initiative (ZDI), mint főszervező persze tett is róla, hogy érdemes legyen részt venni a megmérettetésen, hiszen idén az összdíj elérte az egy millió dollárt. Ezúttal is azok a versenyzők térhettek haza jutalommal a zsebükben, akik a leggyorsabban, a lehető legnagyobb kockázatot jelentő sérülékenységekről rántották le a leplet, és mutattak be azok felhasználásával támadásokat.
 
Az első nap
 
A hackerverseny első napján két kutató Amat Cama és Richard Zhu brillorozott. Először a Safarit kényszírtették térdre egy puffertúlcsordulási hibával, aminek révén a sandbox védelmet is sikerült megkerülniük. Ezért a tettükért 55 ezer dollár ütötte a markukat. A két kutató nem örömködött sokáig, ugyanis gyorsan bemutattak még két támadást. Ezúttal az Oracle VirtualBox ellen, amivel plusz 35 ezer dollárhoz jutottak. Majd levezetésként a VMware Workstationt is feltörték, méghozzá oly módon, hogy egy vendég operációs rendszerről kódokat tudtak futtatni a hoszt rendszeren. Ezt a zsűri kritikus sérülékenységként értékelte, és rögtön 70 ezer dollárt ítélt oda a két szakembernek.
 
Az első napon két másik hackercsapat még egyszer megkörnyékezte az Apple Safarit, nem is sikertelenül. Újabb támadásokat mutattak be, de mivel olyan sérülékenységeket is kihasználtak, amiket az Apple már ismert (csak épp akkor még nem javított), ezért "csak" 45 ezer dollárral térhettek hozza.
 
A második nap
 
A Pwn2Own második napján a Mozilla Firefox és a Microsoft Edge webböngészők kapták a főszerepet. A két alkalmazást több sikeres támadás is érte, aminek következtében a résztvevők 270 ezer dollárt kasszíroztak. A fehérkalapos hackerek olyan biztonsági réseket is feltártak, amelyek jogosulatlan távoli kódfuttatásra, illetve akár kernel szintű manipulációkra is módot adtak.
 
A várva várt harmadik nap
 
A Pwn2Own idei nagy újdonságát az jelentette, hogy a szervezők célpontként kiállítottak egy Teslát, és 250 ezer dolláros fődíjat ajánlottak fel annak, aki a gépkocsi főegységeit, a WiFi vagy Bluetooth kapcsolatot vezérlő összetevőit, illetve az autó kinyitásához használható eszközöket (beleértve a mobil appot is) sikeresen meghackeli. A várakozások ellenére mindössze egy csapat jelentkezett a megmérettetésre. A csapat két tagja pedig nem más volt, mint az első napon mindent learató Amat Cama és Richard Zhu. Ők a Teslához tartozó webböngészőt vették célba, és azt sikeresen meg is hackelték. Mivel ezt a zsűri nem minősítette kritikus hibának, ezért "mindössze" 35 ezer dollár jutalomban részesült a két szakember. A Tesla pedig a webböngészőjét leszámítva érintetlen maradt, és várja a jövő évi megmérettetést.  
A Pwn2Own résztvevőinek át kellett adniuk az általuk feltárt biztonsági hibák részleteit a szervezőknek, akik már értesítették a gyártókat. A verseny szabályzata szerint a hibajavításokig a sebezhetőségek technikai információi nem kerülhetnek nyilvánosságra.