image

700.000 dollar uitgeloofd voor remote aanval op Tesla Model 3

donderdag 9 januari 2020, 15:53 door Redactie, 11 reacties

In maart van dit jaar vindt weer de jaarlijkse Pwn2Own-wedstrijd plaats waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in allerlei producten, waaronder de Tesla Model 3. Onderzoekers die erin slagen om een Tesla via wifi, bluetooth, modem of tuner volledig over te nemen krijgen niet alleen de auto mee naar huis, maar ook een bedrag dat kan oplopen tot 700.000 dollar.

Vorig jaar was de auto ook al een doelwit. Destijds slaagden onderzoekers erin om toegang tot het infotainmentsysteem te krijgen, wat 35.000 dollar en de auto opleverde. Voor de editie van dit jaar is de lat hoger gelegd. Onderzoekers die erin slagen om de auto op afstand over te nemen, waarbij er drie verschillende subsystemen moeten worden gecompromitteerd, kunnen in totaal 700.000 dollar tegemoet zien.

Traditioneel stond Pwn2Own in het teken van aanvallen op browsers en ook dit jaar kunnen onderzoekers zich op Google Chrome, Microsoft Edge, Apple Safari en Mozilla Firefox richten. De hoogste beloning is er voor aanvallen op Chrome en de Chromium versie van Edge. Een sandbox escape in beide browsers wordt met 100.000 dollar beloond. Lukt het onderzoekers om kernelrechten op het Windowssysteem te krijgen, dan volgt er nog eens een beloning van 100.000 dollar. Een sandbox escape in Firefox is goed voor 40.000 dollar, terwijl het verkrijgen van kernelrechten 50.000 dollar oplevert.

Naast browsers kunnen onderzoekers ook onbekende kwetsbaarheden demonstreren in kantoorsoftware Adobe Reader en Microsoft Office 365 ProPlus, virtualisatiesoftware Oracle VirtualBox, VMware Workstation/ESXi en Microsoft Hyper-V en in de servercategorie Windows RDP. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar. Het ZDI zal gedemonstreerde kwetsbaarheden met de betreffende leverancier delen. Zodra er een beveiligingsupdate beschikbaar is worden de details vrijgegeven. Pwn2Own vindt plaats van 18 tot en met 20 maart.

Image

Reacties (11)
09-01-2020, 20:36 door Anoniem
De gevaarlijkste aanval is al lang gedaan door de Tesla fabriek zelf. Toen in België een Tesla op hol sloeg en de fabriek gelijk persberichten ging sturen dat het niet aan de auto en de software lag.

Dat was een misser waardoor ik die rommel niet wil hebben. Want zelfs al kan er geen hekkert bij de data, dan zal de fabriek het zelf wel doen.

Leuke wedstrijd voor fanatieke puzzelaars. Meer niet. Zero confidence. Electrisch rijden is prachtig. Gewoon een vette accu, een electromotor en vier wielen. Helaas wordt het volgepropt met overbodige fabrieksspyware. Dan moet de fabriek er zelf maar rondjes mee gaan rijden. Ikke sla over. Zoals de oude Alfa Sud al roestte in de folder, zijn Teslas al gehackt in de folder.
09-01-2020, 22:17 door Anoniem
Goede zaak. En nou gewoon stoppen met het 'connected' gedoe van auto's. Is het hele probleem opgelost.
09-01-2020, 23:20 door Anoniem
Door Anoniem: De gevaarlijkste aanval is al lang gedaan door de Tesla fabriek zelf. Toen in België een Tesla op hol sloeg en de fabriek gelijk persberichten ging sturen dat het niet aan de auto en de software lag.

Dat was een misser waardoor ik die rommel niet wil hebben. Want zelfs al kan er geen hekkert bij de data, dan zal de fabriek het zelf wel doen.

Leuke wedstrijd voor fanatieke puzzelaars. Meer niet. Zero confidence. Electrisch rijden is prachtig. Gewoon een vette accu, een electromotor en vier wielen. Helaas wordt het volgepropt met overbodige fabrieksspyware. Dan moet de fabriek er zelf maar rondjes mee gaan rijden. Ikke sla over. Zoals de oude Alfa Sud al roestte in de folder, zijn Teslas al gehackt in de folder.

Wen er maar aan. Je kunt niet zonder deze auto's straks.
10-01-2020, 07:57 door Anoniem
Wen er maar aan. Je kunt niet zonder deze auto's straks.
Het probleem van Tesla's is het gebrek aan connectiviteitskeuzes. Er zit(ten) 4G SIM kaartje(s) in de auto voor o.a. de navigatie, maar via diezelfde weg wordt telemetry retour gestuurd, weerdata en andere zaken waar ik als eigenaar (toch?) graag een keuze over wil hebben. Ja, het is fijn om met de app op mijn mobiel mijn auto te kunnen bedienen, maar ik mis een Apple-achtig schuifje waarmee ik aan kan geven dat ik puur *gebruik* wil maken van de dienst en geen onderdeel wil zijn van de feedback loop. Dit komt puur doordat deze auto in de VS wordt gebouwd, daar kijkt men heel anders tegen privacy aan dan hier. Het is hopen op een goede Europeese concurrent die dit wel goed regelt, dan krijgt die mijn centjes.
10-01-2020, 08:09 door Anoniem
Zijn er al mensen/bedrijven bezig om de ''Phone Home'' functie van auto's uit te schakelen of te beheren,zodat je zelf kan bepalen of een auto constant op het net is aangesloten?
Of is het een kwestie van ''zoek de simkaart'' en verwijder deze?

Gr.Q
10-01-2020, 08:46 door Anoniem
Door Anoniem: Zijn er al mensen/bedrijven bezig om de ''Phone Home'' functie van auto's uit te schakelen of te beheren,zodat je zelf kan bepalen of een auto constant op het net is aangesloten?
Of is het een kwestie van ''zoek de simkaart'' en verwijder deze?

Gr.Q

En mis de helft van de functionaliteit van je auto...
10-01-2020, 08:54 door Anoniem
Door Anoniem:
Wen er maar aan. Je kunt niet zonder deze auto's straks.
Het probleem van Tesla's is het gebrek aan connectiviteitskeuzes. Er zit(ten) 4G SIM kaartje(s) in de auto voor o.a. de navigatie, maar via diezelfde weg wordt telemetry retour gestuurd, weerdata en andere zaken waar ik als eigenaar (toch?) graag een keuze over wil hebben. Ja, het is fijn om met de app op mijn mobiel mijn auto te kunnen bedienen, maar ik mis een Apple-achtig schuifje waarmee ik aan kan geven dat ik puur *gebruik* wil maken van de dienst en geen onderdeel wil zijn van de feedback loop. Dit komt puur doordat deze auto in de VS wordt gebouwd, daar kijkt men heel anders tegen privacy aan dan hier. Het is hopen op een goede Europeese concurrent die dit wel goed regelt, dan krijgt die mijn centjes.

Er is een optie om data sharing af te zetten! En zelfs de gesharede data is geanonimiseerd. Anders zouden ze al lang door het protectionistische Europa met hun GDPR fetisj op de vingers getikt zijn
10-01-2020, 11:08 door DDK
De laatste keer dat Tesla ergens publiekelijk vertrouwen in had gingen er tijdens een presentatie 2 zijramen kapot toen men de onverwoestbaarheid wilde aantonen..

Nu maar hopen dat deze uitdaging wat solider is ....

DDK
10-01-2020, 12:46 door Anoniem
Door Anoniem:
Er is een optie om data sharing af te zetten! En zelfs de gesharede data is geanonimiseerd. Anders zouden ze al lang door het protectionistische Europa met hun GDPR fetisj op de vingers getikt zijn

Met voldoende anonieme data ben je niet meer anoniem.
10-01-2020, 22:03 door Anoniem
Wat zitten jullie nou te zeiken over het delen van data, ik snap de weerstand maar sommige van jullie snappen het werkelijke probleem niet eens.

Als je voorstander van privacy bent stop je energie dan in het vechten tegen Google, Facebook en alle andere bedrijven waarbij hun inkomsten uit advertenties komen, bedrijven waar adverteerders de klant zijn en jij het product. Dit zijn de bedrijven die jouw data verhandelen.

Tesla verkoopt auto's, zonnepanelen, batterijen en zonnepanelen, ze hebben geen klanten die data van hun kopen. De data die Tesla gebruikt wordt ook werkelijk gebruikt om de producten te verbeteren.
05-03-2020, 13:00 door Anoniem
Door Anoniem: Tesla verkoopt auto's, zonnepanelen, batterijen en zonnepanelen, ze hebben geen klanten die data van hun kopen. De data die Tesla gebruikt wordt ook werkelijk gebruikt om de producten te verbeteren.

Zulke naïviteit verwacht je niet op een security minded platform... wow!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.