Un equipo de hackers éticos que competía en la conferencia de hacking Pwn2Own 2023 celebrada en Vancouver la semana pasada ganó un Tesla Model 3 y 350.000 dólares tras hackear un Tesla vía Bluetooth y el sistema de infoentretenimiento del coche en tan sólo dos minutos.
Pwn2Own, que se lee en realidad “pawn to own” y que se traduciría por algo así como “si lo hackeas, es tuyo”, es un concurso de hackeo ético. Y este año, uno de los productos que debían hackear era un Tesla Model 3.
Investigadores de la empresa francesa Synacktiv, especializada en pruebas de penetración y auditorías de seguridad, aprovecharon dos vulnerabilidades diferentes para acceder en dos ocasiones a las entrañas del sistema informático de un Tesla Model 3.
Para ello, los chicos de Synacktiv usaron dos exploits diferentes. Un exploit es un software, datos o una secuencia de comandos que aprovecha un error o una vulnerabilidad para provocar un comportamiento involuntario o imprevisto. En este primer exploit accedieron al sistema de gestión de energía Gateway de Tesla.
En este primer ataque, los investigadores podían en teoría, entre otras cosas, abrir el maletero o la puerta delantera de un Tesla Model 3, incluso estando el coche en movimiento. El ataque duró menos de dos minutos y les valió un Tesla Model 3 nuevo como recompensa, así como un premio en metálico de 100.000 dólares.
Tomar el control de un Tesla Model 3 en cuatro minutos
En el segundo ataque, llegó menos de dos minutos después. Aprovecharon una “vulnerabilidad de desbordamiento y un error de escritura fuera de los límites en un chip Bluetooth” para acceder al sistema de infoentretenimiento de Tesla. Y ahora, viene lo bueno, a partir de ahí obtuvieron un acceso root a otros subsistemas.
El root es aquel que posee todos los privilegios del sistema, como manejo de permisos, procesos, usuarios, etc. Además, es el responsable de administrar y mantener la integridad del sistema. Es decir, accedieron al software del Tesla de tal manera que si querían podían tomar el control absoluto del coche.
After having finished their exploit in an hotel room, @_p0ly_ and @vdehors successfully compromised the Tesla Model 3 infotainment through bluetooth and elevated their privileges to root!
Combined with the previous entry, this could have been a full chain to take over the car! https://t.co/AEZERvO6Ko pic.twitter.com/6R1b72h0iz— Synacktiv (@Synacktiv) March 23, 2023
Por este logro, el equipo recibió un premio de nivel 2 de la Zero Day Initiative, es la primera vez en la historia de la competición que un equipo alcanza ese premio. El equipo Synacktiv ganó un total de 530.000 dólares y el Tesla Model 3.
Técnicamente, el hackeo no se realizó dentro del coche. La pantalla de infoentretenimiento se retiró del vehículo para evitar cualquier comportamiento inesperado del propio coche a raíz del ataque. Aún así, la pantalla ejecutó el sistema operativo del vehículo como si estuviera en el coche.
“Por supuesto, nos gustaría hacer esto en el propio coche, pero hay demasiadas variables que lo harían potencialmente peligroso para los que están alrededor”, explican desde Zero Day Initiative. “Preferimos un entorno agradable y controlado”.
Aunque a primera vista, para quien no esté familiarizado con ello, puede sorprender que se organicen competiciones de piratería informática es, sin embargo, algo positivo. Al dar incentivos a los investigadores de seguridad, los fabricantes de automóviles están mejorando así la seguridad de sus coches y sus sistemas conectados.
Algunas marcas ofrecen incluso recompensas para quienes detecten una vulnerabilidad en sus sistemas, como Tesla que paga 15.000 dólares por hallazgo.
Algunas marcas, sin embargo, no cuentan con este tipo de incentivos. Además, según un informe de HackerOne, los que lo hacen no pagan lo suficientemente a los “hackers buenos”, hasta el punto que podrían cambiar de bando algún día.
Escrito por:
Fuente:: Motorpasión
Suscríbete a laNewsletter de gestión de flotas
Curso ONLINE para la gestión de flotas de vehículos
Advanced Fleet Management Consulting, Webfleet Solutions, Optimatics, Mobileye, GantaBI, Unigis, Eccocar, y Alcoa Wheels organizan el “Curso para la Gestión de flotas de vehículos” con el fin de formar a los profesionales en gestión de flotas a tomar una visión global y conocer todas las actividades y factores clave involucrados en la gestión de una flota de vehículos.
El curso es único y presenta un enfoque innovador con los objetivos de reducir costes y optimizar la gestión de la flota.
info@advancedfleetmanagementconsulting.com
o
Rellena el siguiente formulario para recibir la información del curso y te puedas inscribir.