Dokážete hacknout Teslu Model 3? Pak ji můžete vyhrát
15.1.2019, Milan Šurkala, aktualita
Tesla se stala jedním ze sponzorů hackerské soutěže Pwn2Own. Komu se podaří hacknout některý z důležitých systémů tohoto automobilu, může získat velmi pěknou finanční částku a skutečný Model 3 k tomu. Hacknout chce ale i Microsoft, VMware a další.
Spousta společností má své bug bounty programy, kdy hackerům nabízí peníze za to, že najdou chyby v jejich softwaru a doloží, kde je ona zranitelnost. Díky tomu mohou být tyto produkty opraveny dříve, než se je pokusí zneužít jiný hacker ve svůj prospěch. Na toto téma se ale dokonce pořádají i soutěže. Jednou z nich je Pwn2Own, kde sponzoři nabízí velmi pěkné částky za hacknutí svých produktů a tento rok se přidala i Tesla. Ta má hned několik kategorií hacků do různých systémů a první úspěšných hacker, kterému se podaří prorazit zabezpečení Modelu 3 v jedné z těchto kategorií, dostane vedle finanční částky i skutečné auto. Půjde o Model 3 se středním akumulátorem a pohonem zadních kol.
Pokud jde o Teslu, tak např. za hacknutí infotainmentu lze dostat 35-85 tisíc USD. hacknutí protokolů klíčů pro odemykání nebo nastartování vozu je odměněno 100 tisíci USD a např. za nabourání se do autopitola je možné dostat rovnou 250 tisíc USD. Pokud hack vydrží i po restartu, připočtěte si dalších 50 tisíc USD a jestli dokáže řídit i CAN sběrnici, dostane hacker ještě 100 tisíc USD k tomu. Takže ono i když další hackeři nebudou první, za odměny si těch Modelů 3 budou moci koupit i několik. Připomeňme, že Tesla v rámci svého standardního bug bounty programu nabízí 100 až 15000 USD a celkově bylo takto odměněno už 324 případů.
Tesla ale zdaleka není jediný sponzor a společnost, která se snaží najít zranitelnosti ve svých produktech. Např. ve virtualizační kategorii Oracle nabízí 35 tisíc USD za hacknutí VirtualBoxu, VMware 70 až 150 tisíc USD a Microsoft dokonce 250 tisíc USD za prolomení Hyper-V Clienta. Nemalé odměny jsou i pro nalezení chyb v internetových prohlížečích. Google nabízí 80 tisíc USD za problémy v Chrome (např. za únik ze sandboxu nebo za tzv. privilege escalation), Microsoft pak nabízí 50-80 tisíc USD za podobné problémy v prohlížeči Edge. Apple nabídne 55-65 tisíc USD za totéž v Safari a Mozilla pak 40-50 tisíc USD.
Stejné dvě chyby odmění i Adobe u svého Readeru (40 tisíc USD). Microsoft pak nabídne 60 tisíc USD za bezpečnostní chyby v Office 365 ProPlus a 100 tisíc USD v Outlooku a najdete zde ještě několik dalších cen. Pochopitelně, v žádném případě se to netýká všech chyb, ale jen těch daných pravidly pro daný produkt. Např. u Office musí jít o prolomení Protected View, u Tesla neplatí tzv. rolljam útok a podobně. Tato soutěž se bude konat v rámci konference CanSecWest od 20. do 22. března ve Vancouveru.