Pwn2Own: Synacktiv invade sistemas do Tesla Model 3 e conquista prêmios

O que é o Pwn2Own e por que as empresas participam

Realizado anualmente, o concurso Pwn2Own reúne equipes de especialistas em cibersegurança colocadas diante do desafio de descobrir vulnerabilidades em sistemas. As empresas que viram alvo de tentativas de invasão, muitas vezes, participam como parceiras desse tipo de evento, justamente porque ele busca elevar o nível de segurança dos produtos.

Synacktiv e o Tesla Model 3 no Pwn2Own

A equipe francesa Synacktiv conseguiu, com êxito, comprometer diferentes sistemas do Tesla Model 3 nos dois níveis definidos pela competição.

Primeiro nível: controle de subsistemas do Tesla Model 3

Na primeira etapa, a meta era assumir o comando de funções ligadas a subsistemas do carro, responsáveis tanto por segurança quanto pela operação de diversos componentes. Com isso, foi possível, por exemplo, abrir e fechar o capô do Tesla Model 3 mesmo com os sistemas se comportando como se o veículo estivesse em movimento.

Os hackers franceses chegaram a reconhecer a possibilidade de obter controle total do carro ao longo desse procedimento.

Esse primeiro desafio rendeu um prêmio em dinheiro de 100 mil dólares e um Tesla Model 3 novo (o carro mostrado na imagem abaixo é um Model S, mas o prêmio concedido foi, de fato, um Model 3).

Segundo nível: invasão do infoentretenimento via bluetooth

O segundo desafio era mais exigente: além de exigir acesso ao sistema de infoentretenimento, ainda impunha uma cadeia de exploração mais complexa. Mesmo assim, a etapa também foi concluída com sucesso.

Segundo o organizador do evento, a “porta de entrada” foi o módulo de bluetooth e, embora se trate de um componente externo, ele permitiu chegar a funções bastante específicas dentro do sistema.

Por terem superado essa segunda prova, a equipe recebeu mais 250 mil dólares. Além dos sistemas do Tesla Model 3, o concurso também colocou em teste plataformas como Windows 11, Ubuntu e macOS.

Ambiente de simulação e prazo de correção

Esse tipo de prova é recorrente e conta com apoio da própria Tesla e de outras marcas. A ideia é reduzir ao máximo a chance de que seus modelos sejam invadidos no mundo real.

A demonstração ocorreu em um ambiente de simulação, usando os sistemas de um Tesla Model 3. Ou seja, por motivos de segurança, não foi usado um “carro real”.

Neste tweet é possível ver o “cérebro” do Tesla Model 3 utilizado no concurso.

Todas as empresas que se tornam alvo do concurso têm 90 dias para corrigir os problemas de segurança identificados por meio de atualizações dos sistemas. Se isso não acontecer, a organização tornará públicos os detalhes das falhas.