在Pwn2Own黑客競賽的第三天,安全研究人員惟一的目標就是今年剛加入競賽名單的Tesla電動汽車,由Amat Cama與Richard Zhu組成的Fluoroacetate團隊成功駭進了Tesla Model 3的瀏覽器,此舉除了讓他們贏得3.5萬美圓的獎金以外,還可把Tesla Model 3開回家。今年的Pwn2Own黑客競賽首度新增了汽車類別,攻擊目標包括調制解調器、藍牙或Wi-Fi、車載信息娛樂系統、自動駕駛系統、自動駕駛的服務阻斷與感應鑰匙等,獎金則從3.5萬美圓到25萬美圓不等。這次特斯拉贊助了一輛Tesla Model 3,率先攻擊成功的團隊便可將它開走,因爲Fluoroacetate的對手KunnaPwn決定棄賽,等於拱手把新車讓給了Fluoroacetate團隊。瀏覽器
Fluoroacetate團隊鎖定的是相對容易開採的車載信息娛樂系統,它採用的是基於Chromium的網絡瀏覽器。資安高手加上置放於戶外的全新Model 3吸引了衆人的圍觀,該團隊通過幾分鐘的設定,利用瀏覽器描繪引擎的實時編譯(JIT)漏洞,成功於系統上顯示了本身的訊息,這讓該團隊抱走了3.5萬美圓的獎金與一輛Tesla汽車。主辦單位零時差倡議(Zero-Day Initiative,ZDI)表示,他們但願藉由Tesla的創舉可以鼓勵更多與連網汽車有關的安全研究。研究人員們在3天的攻擊行動中總計成功地使用了19個零時差漏洞,獲頒54.5萬美圓的獎金,光是Fluoroacetate團隊便得到37.5萬美圓的獎金,奪下今年「破解大師」(Master of Pwn)的頭銜。安全