O Pwn2Own é uma competição anual que reúne equipes de especialistas em cibersegurança, colocadas à prova para descobrir vulnerabilidades em sistemas. Em muitos casos, as empresas que viram alvo dessas tentativas participam como parceiras do evento, justamente porque a iniciativa busca elevar o nível de proteção dos produtos.
Pwn2Own e o objetivo de encontrar falhas com responsabilidade
Na edição em questão, a equipe francesa Synacktiv conseguiu comprometer, com êxito, diferentes sistemas do Tesla Model 3 nos dois níveis previstos pela competição.
Primeiro nível: controle de subsistemas do Tesla Model 3
No primeiro nível, a meta era assumir o comando de funções ligadas a subsistemas do carro - componentes responsáveis pela segurança e pela operação de diversos recursos. Na prática, isso tornou possível, por exemplo, abrir ou fechar o capô do Tesla Model 3 mesmo com os sistemas se comportando como se o veículo estivesse em movimento.
Os hackers franceses chegaram a admitir que, durante esse processo, haveria até a possibilidade de obter controle total do carro.
Essa primeira etapa rendeu à equipe um prêmio em dinheiro de 100 mil dólares e um Tesla Model 3 zero quilômetro (o carro mostrado na imagem citada era um Model S, mas o prêmio entregue foi, de fato, um Model 3).
Segundo nível: acesso ao infoentretenimento via Bluetooth
O segundo desafio tinha um grau de complexidade maior, já que exigia entrar no sistema de infoentretenimento - e, ainda assim, a equipe também concluiu essa etapa com sucesso. A “porta de entrada” usada foi o módulo de Bluetooth e, embora o organizador do evento tenha destacado que se trata de um componente externo, ele acabou permitindo o acesso a funções bastante específicas.
Por superar essa segunda prova, a Synacktiv recebeu mais 250 mil dólares. Além de sistemas do Tesla Model 3, o concurso também colocou em teste plataformas como Windows 11, Ubuntu e macOS.
Esse tipo de avaliação é relativamente comum, e a própria Tesla - assim como outras marcas - apoia sua realização. A proposta é reduzir ao máximo a chance de que seus modelos sejam invadidos.
A demonstração ocorreu em um ambiente de simulação com os sistemas de um Tesla Model 3. Ou seja, por motivos de segurança, não foi utilizado um “carro de verdade”.
Em um tuíte, é possível ver o “cérebro” do Tesla Model 3 usado no concurso.
Prazo de correção e divulgação das vulnerabilidades
Todas as empresas que entram como alvo do concurso têm 90 dias para corrigir os problemas de segurança identificados, por meio de atualizações de sistema. Se isso não acontecer, a organização divulgará publicamente os detalhes das falhas.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário