Tại cuộc thi tấn công mạng Pwn2Own diễn ra hôm 23/3, một nhóm hacker đã xâm nhập thành công hệ thống startup xe điện Tesla và nhận thưởng tổng cộng 350.000 USD cùng mẫu xe Model 3. Pwn2Own là cuộc thi tấn công mạng uy tín và lớn nhất thế giới, được Zero Day Initiative tổ chức thường niên từ năm 2007.
Theo Electrek, khai thác lỗ hổng trong hệ thống ôtô là một trong những hình thức được các hacker lựa chọn nhiều nhất. Trong đó, Tesla là hãng xe điện đầu tư rất lớn cho an ninh mạng và hợp tác trực tiếp với các hacker mũ trắng.
Do đó, startup của Elon Musk tham gia cuộc thi Pwn2Own, treo thưởng lớn cho những hacker dám thử thách xâm nhập hệ thống của họ như bộ thu sóng, kết nối Wi-Fi, Bluetooth hoặc các cổng modem khác.
Những thí sinh tham gia Pwn2Own sẽ nhận được điểm nếu hack thành công lỗ hổng bất kỳ. Số điểm sẽ được cộng dồn để nhóm hacker được nhận tiền thưởng tương ứng và trở thành người chiến thắng chung cuộc.
Trong một bài đăng hôm 23/3, Zero Day Initiative xác nhận nhóm hacker Synacktiv đã khai thác thành công lỗ hổng TOCTOU của hệ thống xe Tesla. Chiến công này giúp họ nhận được 100.000 USD và một chiếc Model 3.
Time-of-check-to-time-of-use (TOCTOU) là lỗ hổng xảy ra khi xảy ra khi 2 hoặc nhiều hacker cố gắng truy cập hoặc sử dụng cùng một tài nguyên chung trong cùng một thời điểm dẫn tới việc kết quả bị sai so với quy trình thông thường.
Cuộc tấn công thứ hai nhóm Synacktiv thực hiện là giành quyền truy cập vào hệ thống Tesla và tấn công hệ thống giải trí trên Tesla Model 3 thông qua công nghệ Bluetooth bằng cách làm tràn bộ nhớ đệm và ghi lỗi lên hệ thống mạng OOB (out-of-band). Chiến công này giúp họ nhận thưởng thêm 250.000 USD.
Theo SecurityWeek, đội an ninh mạng của Tesla đã xác thực những lỗ hổng này là đúng và cho biết sẽ vá lỗi thông qua bản cập nhật OTA. Trên thực tế, những lỗ hổng bị khai thác trong cuộc thi Pwn2Own phần lớn đều được gửi về các hãng để giúp họ cải thiện tính bảo mật và an toàn của sản phẩm.
Ngoài Tesla, nhóm hacker Synacktiv còn xâm nhập vào nhiều hệ thống khác nhau như Windows 11 để giành thêm 30.000 USD. Sau cuộc thi Pwn2Own, đội hacker mũ trắng này đã mang về tổng cộng 530.000 USD trong tổng số 1.035.000 USD tiền thưởng của cuộc thi.
Theo Electrek, Tesla là một trong những công ty công nghệ hợp tác với hacker mũ trắng để tìm ra những lỗ hổng bảo mật để bảo vệ hệ thống khỏi các cuộc tấn công đến từ bên ngoài.
Tesla còn có chương trình báo lỗi thưởng tiền (bug bounty), nơi các lập trình viên hoặc nhà nghiên cứu bảo mật báo cáo lỗ hổng bảo mật trong sản phẩm và nhận tiền thưởng. Nếu lỗ hổng ảnh hưởng đến sản phẩm của bên thứ ba, công ty sẽ gửi thông tin với nhà phát triển.
Tháng 1/2022, người dùng 19 tuổi tên David Colombo cho biết đã phát hiện lỗ hổng bảo mật trong một ứng dụng bên thứ ba trên xe điện Tesla. Tận dụng kẽ hở này, Colombo có thể điều khiển từ xa một số tính năng của phương tiện.
Cụ thể, thông qua lỗ hổng trong ứng dụng, Colombo có thể mở khóa cửa ra vào và cửa sổ, khởi động xe mà không cần chìa khóa, vô hiệu hóa hệ thống an ninh. Ngoài ra, anh có thể biết tài xế đang có mặt trong xe, kích hoạt hệ thống loa stereo, bật YouTube, bóp còi và nháy đèn pha.
Colombo đã liên lạc với đội ngũ bảo mật của Tesla và công ty phát triển ứng dụng. Theo Fortune, anh cũng là người hâm mộ xe Tesla, đã lập trình từ khi 10 tuổi.