O Pwn2Own é um concurso que, todos os anos, coloca equipes de especialistas em cibersegurança diante do mesmo desafio: encontrar vulnerabilidades em sistemas amplamente usados. As empresas que viram alvo das tentativas de invasão, muitas vezes, participam como parceiras desse tipo de evento - justamente porque o objetivo é fortalecer a segurança dos produtos.
O que aconteceu no Pwn2Own com a Synacktiv
A equipe francesa Synacktiv conseguiu comprometer, com êxito, diferentes sistemas do Tesla Model 3 nos dois níveis previstos pela competição.
Primeiro nível: controle de subsistemas do Tesla Model 3
No primeiro nível, a meta era assumir o comando de funções de subsistemas do carro ligados à segurança e à operação de vários componentes. Na prática, isso viabilizou ações como abrir e fechar o capô do Tesla Model 3, inclusive com os sistemas se comportando como se o veículo estivesse em movimento.
Os hackers franceses chegaram a afirmar que, durante o processo, existia até a possibilidade de tomar o controle total do carro.
Esse primeiro desafio garantiu à equipe um prêmio em dinheiro de 100 mil dólares e um Tesla Model 3 zero quilômetro (o carro mostrado na imagem abaixo é um Model S, mas o prêmio, de fato, foi um Model 3).
Segundo nível: acesso ao infoentretenimento via bluetooth
A segunda etapa era mais exigente: além de entrar no sistema de infoentretenimento, era necessário superar um cenário mais complexo. Ainda assim, a Synacktiv concluiu a prova com sucesso.
Segundo o organizador do evento, a "porta de entrada" foi o módulo de bluetooth e, embora ele seja considerado um componente externo, o caminho permitiu chegar a funções bem específicas.
Por terem vencido essa segunda prova, os franceses receberam mais 250 mil dólares. Além dos sistemas do Tesla Model 3, o concurso também colocou à prova plataformas como Windows 11, Ubuntu e macOS.
Esse tipo de iniciativa é comum, e a própria Tesla - assim como outras marcas - apoia sua realização, como forma de reduzir ao máximo a chance de seus modelos serem invadidos.
A demonstração foi feita em um ambiente de simulação com sistemas de um Tesla Model 3. Ou seja, por motivos de segurança, não foi usado um "carro real".
Neste tweet, dá para ver o "cérebro" do Tesla Model 3 utilizado no concurso.
Prazo de 90 dias para correções
Todas as empresas que se tornam alvo do concurso têm 90 dias para corrigir, via atualizações de sistema, os problemas de segurança identificados. Se esse prazo não for cumprido, a organização divulgará publicamente os detalhes das falhas.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário