Pwn2Ownコンテストでテスラ車がハッキングされる

カナダのバンクーバーで今週開催されたハッキン​​グコンテスト「Pwn2Own 2019」の最終日に、セキュリティ研究者のチームがテスラモデル3車をハッキングした。

チーム フルオロアセテート アマト・カマ氏とリチャード・ジュー氏で構成され、ブラウザ経由でテスラ車をハッキングした。 彼らはブラウザ レンダラー プロセスの JIT バグを利用して、車のファームウェアでコードを実行し、エンターテイメント システムにメッセージを表示しました。

コンテストのルールに従って 昨年の秋に発表された、デュオは今度は車を維持できるようになります。 彼らは車を維持することに加えて、35,000ドルの報酬も受け取りました。

Teslaの広報担当者は今日、Pwn2Ownの脆弱性に関して「数日以内に、この研究に対処するソフトウェアアップデートをリリースする予定だ」とZDNetに語った。 「このデモンストレーションには並外れた努力と技術が必要だったことを理解しており、感謝しています」 これらの研究者は、私たちの車が道路上で最も安全であることを保証し続けるために貢献してくれました。 今日。"

テスラ車のハッカーも競争に勝利

偶然ではありませんが、チーム フルオロアセテートも 36 個の「マスター オブ Pwn」を獲得し、3 日間のコンテストで優勝しました。 Apple Safari、Firefox、Microsoft Edge、VMware Workstation、および Windows でエクスプロイトを成功させるためのポイント 10.

二人は、3 日間の競技全体で獲得した賞金総額 545,000 ドルのうち、375,000 ドルを獲得しました。

Team Fluoroacetate が Pwn2Own 東京カンファレンスで第 1 位となり「Master of Pwn」トロフィーを獲得した後、これは Pwn2Own ハッキング コンテストで 2 回目の優勝です。 2018年11月に.

Pwn2Ownとは何ですか?

Pwn2Own、トレンドマイクロ主催 ゼロデイ イニシアチブ チームは、情報セキュリティ (infosec) の世界でホワイトハット研究者による最高のハッキング コンテストとみなされています。

セキュリティ研究者は Pwn2Own コンテストに集まり、事前に定義されたターゲット (ソフトウェア) のリストに対するエクスプロイトをデモンストレーションします。 彼らはエクスプロイトが成功するたびにポイントとお金を獲得します。 ハッキング コンテストで使用されるすべての脆弱性は新しいものでなければならず、それらは直ちにソフトウェア ベンダーに開示されます。

過去数年間、Pwn2Own でアプリがハッキングされた企業の多くが、現在コンテストのスポンサーとなっており、 エンジニアがオンサイトで研究者自身から脆弱性レポートを受け取り、場合によっては社内にパッチを提供します。 時間。

今年、Mozilla は研究者が Pwn2Own で 2 つのエクスプロイトをデモした翌日に Firefox にパッチを適用しました -- 参照 v66.0.1 変更ログ.

今年の Pwn2Own では、Firefox と Tesla のブラウザに加えて、研究者らは Apple Safari、Microsoft Edge、VMware Workstation、Oracle Virtualbox、および Windows 10 の脆弱性も悪用しました。

Pwn2Own の 3 日目のビデオ概要はこの記事の上部にあり、最初の 2 日間の概要は下に埋め込まれています。

その他の脆弱性レポート:

• PDF ファイルを作成するための一般的な PHP ライブラリで重大なセキュリティ バグが発見されました
• FDA警告：多数の心臓インプラントは20フィート離れた場所からハッキングされる可能性がある
  
• 研究者がLTEプロトコルに36の新たなセキュリティ上の欠陥を発見
• Microsoft、Googleエンジニアが発見した「新規バグクラス」を修正へ
• WordPress の SMTP プラグインのゼロデイが 2 つのハッカー グループによって悪用される
• Nokiaのファームウェアのミスで一部のユーザーデータが中国に流出
• DJI、潜在的なハッカーがドローンをスパイできる脆弱性を修正 CNET
• アプリの脆弱性トップ 10: パッチが適用されていないプラグインと拡張機能が大半を占める TechRepublic