由趨勢科技旗下 ZDI(Zero Day Initiative)主辦的 Pwn2Own 駭客大會春季賽日前於溫哥華登場,電動車大廠特斯拉(Tesla)也現身參與活動,除了 3.5 萬美元的獎金,做為找到電動車系統安全漏洞的獎勵,特斯拉也提供給挑戰成功的駭客團隊一份獎品:一台 Model 3。
Pwn2Own 的最後一天,由 Richard Zhu 與 Amat Cam 組成的挑戰團隊「Fluoroacetate」在進入 Model 3 數分鐘後,便成功透過一個 JIT 錯誤駭進了車子的網路瀏覽器,使其在螢幕上能夠顯示訊息。
做為努力的獎賞,Fluoroacetate 不僅獲得了 3.5 萬美元的獎金,也贏得了成功駭入的 Model 3。由於他們拿走今年 Pwn2Own 大會 54.5 萬總獎金中的 37.5 萬美元,因此也榮獲「2019 年 Pwn 大師」(Master of Pwn)的稱號。
They did it. A successful demonstration by the @fluoroacetate duo on the Model 3 internet browser. Now off to the disclosure room for details and confirmation. pic.twitter.com/GrbZYUvYQa
— Zero Day Initiative (@thezdi) 2019年3月22日
所有參與 Pwn2Own 的公司都會在隨後收到安全漏洞的詳細訊息,並有 90 天的時間提供更新來修復漏洞。
儘管第一次參與且在短短數分鐘內便被抓到漏洞,但特斯拉顯然對結果感到十分滿意。在近日公開的聲明中,特斯拉表示,他們選擇用 Model 3 參與世界知名的 Pwn2Own 駭客大賽,便是希望能和最有才華的成員互動,尋求這種確切的反饋意見。
「我們理解這次展示需要付出許多努力和技巧,非常感謝這些研究人員的工作,協助我們持續確保特斯拉汽車在道路上的安全。」
由於這是首次有車商參與 Pwn2Own 大賽,一台 Model 3 加上 3.5 萬美元的獎賞顯得非常突出,但其實 Fluoroacetate 團隊只是眾多獲得特斯拉獎勵的隊伍之一。自 2014 年推出漏洞賞金計畫以來,特斯拉已經為提報系統漏洞的駭客數十萬美元的獎勵。
如果你有著相應的技巧,又剛好想要一台 Model 3,不妨注意看看下次特斯拉舉辦的抓漏洞活動。
(首圖來源:Flickr/mariordo59 CC BY 2.0)