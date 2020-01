In maart van dit jaar vindt weer de jaarlijkse Pwn2Own-wedstrijd plaats waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in allerlei producten, waaronder de Tesla Model 3. Onderzoekers die erin slagen om een Tesla via wifi, bluetooth, modem of tuner volledig over te nemen krijgen niet alleen de auto mee naar huis, maar ook een bedrag dat kan oplopen tot 700.000 dollar.

Vorig jaar was de auto ook al een doelwit. Destijds slaagden onderzoekers erin om toegang tot het infotainmentsysteem te krijgen, wat 35.000 dollar en de auto opleverde. Voor de editie van dit jaar is de lat hoger gelegd. Onderzoekers die erin slagen om de auto op afstand over te nemen, waarbij er drie verschillende subsystemen moeten worden gecompromitteerd, kunnen in totaal 700.000 dollar tegemoet zien.

Traditioneel stond Pwn2Own in het teken van aanvallen op browsers en ook dit jaar kunnen onderzoekers zich op Google Chrome, Microsoft Edge, Apple Safari en Mozilla Firefox richten. De hoogste beloning is er voor aanvallen op Chrome en de Chromium versie van Edge. Een sandbox escape in beide browsers wordt met 100.000 dollar beloond. Lukt het onderzoekers om kernelrechten op het Windowssysteem te krijgen, dan volgt er nog eens een beloning van 100.000 dollar. Een sandbox escape in Firefox is goed voor 40.000 dollar, terwijl het verkrijgen van kernelrechten 50.000 dollar oplevert.

Naast browsers kunnen onderzoekers ook onbekende kwetsbaarheden demonstreren in kantoorsoftware Adobe Reader en Microsoft Office 365 ProPlus, virtualisatiesoftware Oracle VirtualBox, VMware Workstation/ESXi en Microsoft Hyper-V en in de servercategorie Windows RDP. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar. Het ZDI zal gedemonstreerde kwetsbaarheden met de betreffende leverancier delen. Zodra er een beveiligingsupdate beschikbaar is worden de details vrijgegeven. Pwn2Own vindt plaats van 18 tot en met 20 maart.