2417648

Pwn2Own: Infotainment des Tesla Model 3 gehackt

23.03.2019 | 09:11 Uhr | Frank Ziemann

Am dritten Tag des Hacker-Wettbewerbs Pwn2Own hat es das bis dahin schon führende Team geschafft, auch noch den Tesla zu hacken. Für Firefox gibt es inzwischen ein Sicherheits-Update.

Im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver hat in dieser Woche der Hacker-Wettstreit Pwn2Own stattgefunden. Am ersten Tag , Mittwoch, gab es erfolgreiche Angriffe auf Safari, VirtualBox und VMware Workstation. Am zweiten Tag haben mehrere Teilnehmer mit Erfolg die Browser Firefox und Edge attackiert. Für den dritten und letzten Tag hat sich der Veranstalter, die Zero Day Initiative ( @thezdi ) des Sicherheitsunternehmens Trend Micro, den Tesla Model 3 aufgespart. Wer an den drei Tagen die meisten Punkte sammelt, wird „Master of Pwn“.

Nach dem Rückzieher des Teams KunnaPwn stand das Team Fluoroacetate (Amat Cama und Richard Zhu) bereits vor dem dritten Tag als Gewinner fest. Team KunnaPwn wollte das Sicherheitssystem VCSEC (Vehicle Controller Secondary) des Elektroautos hacken. Doch offenbar ist ihnen die Zeit für die Vorbereitung zu knapp geworden und sie wollten sich nicht blamieren.

Das Team Fluoroacetate hat sich das Infotainmentsystem des Tesla Model 3 als Ziel ausgeguckt. Es basiert auf dem quelloffenen Browser Chromium. Die Hacker haben wiederum einen Bug im JIT-Compiler ausgenutzt. Sie haben mit dem Browser eine vorbereitete Web-Seite aufgerufen und so das Infotainmentsystem geknackt. Lohn der Mühe: 35.000 US-Dollar und weitere drei Punkte – den gehackten Tesla dürfen sie auch mit nach Hause nehmen.

Team Fluoroacetate (Amat Cama und Richard Zhu) - Masters of Pwn
Vergrößern Team Fluoroacetate (Amat Cama und Richard Zhu) - Masters of Pwn
© ZDI / Trend Micro

Nachdem am ersten Tag 240.000 Dollar Prämien ausgeschüttet worden waren, sind am zweiten Tag 270.000 Dollar und am dritten Tag weitere 35.000 Dollar hinzugekommen. Insgesamt wurden also 545.000 Dollar an Prämien ausgeschüttet. Das Team Fluoroacetate gewinnt die Gesamtwertung deutlich mit 36 Punkten, 375.000 Dollar Preisgeld und einem Auto. Wie schon bei der Herbstveranstaltung Pwn2Own Tokyo im letzten November holt sich das Duo den Titel „Master of Pwn“.

Alle Teilnehmer müssen die Details ihrer Hacks offenlegen und an die jeweiligen Produkthersteller übergeben. Wie schon in früheren Jahren waren die Mozilla-Entwickler vor Ort und haben innerhalb von 24 Stunden Sicherheits-Updates für Firefox bereitgestellt. Die Updates auf Firefox 66.0.1 sowie Firefox ESR 60.6.1 beseitigen die beiden Sicherheitslücken , die am zweiten Tag des Hacker-Wettbewerbs aufgedeckt worden waren.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2417648