▲特斯拉Model 3在全球白帽駭客大賽中不到2分鐘就遭破解。(圖/翻攝自Tesla)
實習記者金奇/綜合報導
去(2021)年5月時數位保安公司NCC Group公布一項研究報告,表示全球有數以百萬採用藍牙技術的車輛門鎖出現漏洞,容易遭到駭客解鎖並將車開走,更表示全球至少有200萬輛特斯拉電動車受到影響。近日一組來自法國Synacktiv的資安公司在一年一度舉辦得全球白帽駭客大賽Pwn2Own 2023中,在不到2分鐘的時間內便破解了Model 3。
▲Synacktiv表示透過這個漏洞還可以控制整部車的導航等各種安全系統。(圖/翻攝自特斯拉)
Synacktiv在比賽中展示了2個針對Model 3的獨立漏洞,其中一個漏洞涉及對特斯拉的閘道器能源管理系統執行TOCTTOU(檢查時間到使用時間)進行攻擊,讓駭客可以在車輛行駛中將車門或是後車廂打開,Synacktiv更表示透過這個漏洞還可以控制整部車的導航等各種安全系統。
而第2個漏洞Synacktiv利用藍牙晶片組中的緩衝區溢位(Heap overflow)漏洞和越界寫入錯誤,成功駭入了特斯拉的娛樂系統,還將特斯拉標誌換成了他們的圖案。Synacktiv也因為發現這2個系統,分別獲得10萬美元及25萬美元的獎金,還有一輛Model 3。
After having finished their exploit in an hotel room, @_p0ly_ and @vdehors successfully compromised the Tesla Model 3 infotainment through bluetooth and elevated their privileges to root!
— Synacktiv (@Synacktiv) March 23, 2023
Combined with the previous entry, this could have been a full chain to take over the car! https://t.co/AEZERvO6Ko pic.twitter.com/6R1b72h0iz
近年來隨著高科技車輛的發展,汽車遭到駭客入侵的議題也越來越受到關注,事實上近年來特斯拉都在安全網路方面投入大量資源,並與白帽駭客密切合作,也為Pwn2Own競賽等組織的駭客挑戰提供大額獎金和電動汽車,避免任何有被駭客入侵的可能性,讓購買電動車的消費者更加放心。
讀者迴響