A segurança do software é crítica nos veículos de hoje e de amanhã. Nos casos mais extremos, um hacker poderia não apenas ter acesso ao carro, mas acessar os dados pessoais vinculados ao perfil do proprietário e até assumir o controle do veículo. Algumas pessoas já estão meio paranóicas com tudo isso, caso do rapper rick ross e que até se recusa a usar veículos conectados a esse nível.
É verdade que conseguir travar um carro com a tecnologia de um Tesla é muito complicado. Mas não é impossível, como demonstraram no evento Pwn2Own, dedicado essencialmente a encontrar vulnerabilidades, sim, com uma abordagem bem intencionada (melhorar o nível de segurança). No entanto, dada a natureza do evento, todos os detalhes não foram divulgados como o hack foi realizado para evitar um risco de segurança para os proprietários de Tesla.
O grupo de especialistas que conseguiram violar o sistema é chamado Synacktiv e é de origem francesa. Eles usaram um ataque TOCTOU para acessar o veículo, que consiste em alterar os arquivos do sistema interno para ter acesso a ele. Os hackers modificaram os arquivos que garantem que quem acessa o veículo é quem realmente deve ter acesso. Por exemplo, solicitando credenciais de login. O tipo de ataque empregado usa a diferença de tempo entre o horário em que o sistema verifica os arquivos e o horário em que a pessoa realmente faz login. Isso rendeu a eles um prêmio de $ 100.000, mas depois eles passaram para um nível mais avançado.
CONFIRME! @Synacktiv usou um estouro de heap e uma gravação OOB para explorar o sistema Infotainment no Tesla. Quando eles nos deram os detalhes, determinamos que eles realmente se qualificaram para um prêmio de Nível 2! Eles ganham $ 250.000 e 25 pontos Master of Pwn. 1º prêmio Tier 2 de todos os tempos. Trabalho estelar! pic.twitter.com/IPOnXG5S0u
— Iniciativa Zero Day (@thezdi) 23 de março de 2023
A mesma equipe conseguiu violar o sistema de entretenimento informatizado da Tesla, uma das seções mais difíceis e gratificantes. Tanto que foi a primeira vez na história que alguém ganhou um prêmio da categoria Tier 2 no referido evento. Ele premiação para o grupo de hackers tem sido muito suculento: um Tesla Model 3 e $ 250.000 em dinheiro. Traduzido para a nossa moeda, o valor total do prémio ascende a pouco mais de 272 mil euros, somando o dinheiro e o valor da viatura.
Não é a primeira vez que a Tesla aceita participar do Pwn2Own, que é um dos eventos da hacking mais famoso do mundo. Envolve equipes de hackers que tentam violar alguns dos programas e sistemas mais populares do mundo, divididos em diferentes níveis e objetivos. A Tesla chegou a oferecer $ 700.000 para quem conseguir hackear completamente um de seus carros e penetrar na parte mais profunda do software do veículo da maneira mais difícil. Até agora, ninguém conseguiu. Sim, alguns subsistemas foram violados, cuja recompensa varia entre 35.000 e 200.000 dólares, dependendo da dificuldade. E sempre que o fizeram, a Tesla respondeu prontamente corrigindo o bug com uma atualização de software.