由趋势科技旗下 ZDI(Zero Day Initiative)主办的 Pwn2Own 骇客大会春季赛日前于温哥华登场,电动车大厂特斯拉(Tesla)也现身参与活动,除了 3.5 万美元的奖金,做为找到电动车系统安全漏洞的奖励,特斯拉也提供给挑战成功的骇客团队一份奖品:一台 Model 3。
Pwn2Own 的最后一天,由 Richard Zhu 与 Amat Cam 组成的挑战团队「Fluoroacetate」在进入 Model 3 数分钟后,便成功透过一个 JIT 错误骇进了车子的网路浏览器,使其在萤幕上能够显示讯息。
做为努力的奖赏,Fluoroacetate 不仅获得了 3.5 万美元的奖金,也赢得了成功骇入的 Model 3。由于他们拿走今年 Pwn2Own 大会 54.5 万总奖金中的 37.5 万美元,因此也荣获「2019 年 Pwn 大师」(Master of Pwn)的称号。
They did it. A successful demonstration by the @fluoroacetate duo on the Model 3 internet browser. Now off to the disclosure room for details and confirmation. pic.twitter.com/GrbZYUvYQa
— Zero Day Initiative (@thezdi) 2019年3月22日
所有参与 Pwn2Own 的公司都会在随后收到安全漏洞的详细讯息,并有 90 天的时间提供更新来修复漏洞。
儘管第一次参与且在短短数分钟内便被抓到漏洞,但特斯拉显然对结果感到十分满意。在近日公开的声明中,特斯拉表示,他们选择用 Model 3 参与世界知名的 Pwn2Own 骇客大赛,便是希望能和最有才华的成员互动,寻求这种确切的反馈意见。
「我们理解这次展示需要付出许多努力和技巧,非常感谢这些研究人员的工作,协助我们持续确保特斯拉汽车在道路上的安全。」
由于这是首次有车商参与 Pwn2Own 大赛,一台 Model 3 加上 3.5 万美元的奖赏显得非常突出,但其实 Fluoroacetate 团队只是众多获得特斯拉奖励的队伍之一。自 2014 年推出漏洞赏金计画以来,特斯拉已经为提报系统漏洞的骇客数十万美元的奖励。
如果你有着相应的技巧,又刚好想要一台 Model 3,不妨注意看看下次特斯拉举办的抓漏洞活动。
- Tesla Model 3 vulnerability exposed at Pwn2Own; hackers take home the car
- Tesla car hacked at Pwn2Own contest
