Несколько недель назад на Хабре публиковалась новость о том, что Илон Маск пообещал привезти Tesla Model 3 на конференцию Pwn2Own и отдать электромобиль тому, кто сможет его взломать. При этом предприниматель высказывал сомнение в том, что кому-то удастся обойти защитные системы транспортного средства.
Но, как оказалось, умельцы действительно нашлись. Так, команда Fluoroacetate, в состав которой входят Амат Кама и Ричард Жу, взломали машину через браузер Tesla. Они использовали баг JIT, который позволял получить управление электромобилем. Например, показать сообщение произвольного характера на экране.
Согласно условиям, команда признана решившей задачу и получила $35 000. Кроме того, специалисты по информационной безопасности получили электромобиль (один на двоих, да).
Tesla Inc запустила баунти-программу в 2014 году. В 2018 размер вознаграждения был увеличен с $10000 до $15000. Кроме того, представители Tesla заявили, что электромобили, которые проходят испытания на прочность, не лишаются гарантии. «Мы разрабатываем наши электромобили, постоянно помня о безопасности во всех ее проявлениях, именно поэтому помощь специалистов по инфобезу мы считаем неоценимой», — заявил вице-президент Компании Дэвид Лау.
Представитель Tesla заявил, что в ближайшие несколько дней будет выпущено обновление программного обеспечения, которое решит эту проблему. «Мы понимаем, что демонстрация уязвимости потребовала со стороны участников больших усилий и опыта, и мы благодарны исследователям за их работу, которая поможет нам продолжать улучшать электромобили», — сообщила компания.
Собственно, команда Fluoroacetate справилась не только с Tesla, но и с браузерами — Apple Safari, Firefox, Microsoft Edge, а также с VMware Workstation и Windows 10. Общая сумма, заработанная командой, составила $375 000. Суммарный объем призового фонда мероприятия составил в этом году $545 000 (раньше сообщалось об $1 млн).
К слову, Fluoroacetate уже побеждали на Pwn2Own — это случилось на конференции в Токио, в ноябре 2018 года. И тогда и сейчас команда получила звание «Master of Pwn».
