天创培训:您身边的信息安全培训专家!
行业动态
Pwn2Own黑客大会:攻陷特斯拉,30万美金带回家

Pwn2Own黑客大会:攻陷特斯拉,30万美金带回家

据外媒报道,将于今年3月在加拿大温哥华举行的Pwn2Own CanSecWest安全峰会的组织者已经决定让参赛的安全研究人员现场参与攻击特斯拉Model 3汽车。而参与这个项目的研究人员将能够赢得不同金额的奖金,从3.5万美元到30美元不等,具体取决于他们使用的漏洞和针对的汽车系统。

Pwn2Own是目前全球最知名、奖金最丰厚的黑客大赛,由趋势科技(Trend Micro)的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都表示对该大赛的支持,以通过黑客攻击挑战来完善自身产品。

根据ZDI项目组负责人Brian Gorenc的说法,凡是第一位在特斯拉Model 3上取得漏洞利用成功的安全研究人员,无论目标部件和方法如何,都将赢得一个全新的特斯拉Model 3模型。

报道称,此次峰会的组织者将在现场安装一辆特斯拉Model 3汽车,以供研究人员进行攻击尝试。

如果研究人员能够获取到任意汽车部件(如调制解调器、调谐器、WiFi、蓝牙、自动驾驶仪、网关或VCSEC系统)的代码执行权,就能够赢得奖励。在这里,成功的攻击指的是必须搭建起这些部件与流氓基站或其他恶意设备之间的通信信道。

另外,如果研究人员能够在车载息娱乐系统(In-Vehicle Infotainment,IVI)上实现代码执行并浏览恶意内容,他们也可以赢得奖品。

不仅如此,研究人员还可以通过以下这个项目来获得现金奖励——如果他们的攻击目标是特斯拉Model 3的钥匙链和“手机即钥匙(phone-as-key)”协议,则需要实现代码执行、解锁门或启动汽车。

所有奖项都在下面这张表格中有详细说明,这些关键部件被认为是每一辆现代智能汽车的支柱。

Pwn2Own黑客大会:攻陷特斯拉,30万美金带回家

攻陷黑客特斯拉汽车看起来似乎是一项不可能完成的任务,但事实并非如此。实际上,国内安全团队腾讯科恩实验室曾两度攻陷过特斯拉汽车(并于去年发现了14个影响到宝马I系列、宝马X系列、宝马3系、宝马5系、宝马7系等高端车型的安全漏洞),尽管并非Model 3,而是其他车型。这包括:

  • 2016年9月,腾讯科恩实验室向外界披露了全球首次通过远程无物理接触方式成功入侵特斯拉Model S的过程,并获得了特斯拉官方的公开致谢。

  • 2017年6月,腾讯科恩实验室攻陷特斯拉Model X,实现了远程控制刹车、车门、后备箱,以及操纵车灯和广播。

除了现场攻击特斯拉汽车之外,参加此次Pwn2Own黑客大赛的研究人员还可以通过其他一些项目赢得奖金,例如:

  • 虚拟化项目:Oracle VirtualBox、VMWare Workstation、VMWare ESXi和Microsoft Hyper-V

  • 浏览器项目:Firefox、Chrome、Safari和Edge

  • 企业应用项目:Adobe Reader、Office 365 ProPlus和Outlook

  • 服务器端项目:Windows RDP

这些项目的奖金从3.5万美元到25万美元不等,具体如下:

Pwn2Own黑客大会:攻陷特斯拉,30万美金带回家

Pwn2Own黑客大会:攻陷特斯拉,30万美金带回家

Pwn2Own黑客大会:攻陷特斯拉,30万美金带回家

Pwn2Own黑客大会:攻陷特斯拉,30万美金带回家