Fransız güvenlik firması Synacktiv’den hacker’lar, Pwn2Own yarışmasında Tesla’nın Gateway sistemine sızdılar. Bilgi-eğlence sisteminde root erişimi elde etmelerine izin veren iki ayrı zafiyeti ortaya çıkararak 530.000 dolar ve bir Tesla Model 3 kazandılar.
İlk zafiyeti ortaya çıkaran Check to Time of Use (TOCTOU) saldırısı oldu. İkincisi ise sınır dışı yazma hatası kullanılarak ortaya çıkarıldı. Bunun sonucunda araç hareket halindeyken kapıları ve ön kaputu açabiliyorlardı.
Tesla, bulunan zafiyetlerin sadece sürücüyü rahatsız edebileceğini iddia ediyor. Ancak hacker’lar, Tesla Model 3’ü aldıktan sonra iddianın gerçekliğini kontrol etmeyi planlıyorlar.
Tesla, Pwn2Own’a isteyerek katılarak araba temin etti. Bu yarışma, katılan şirketler tarafından keşfedilmemiş zafiyetleri bulmak için bir fırsat olarak görülüyor. Böylece bu zafiyetler düzeltilebiliyor.
Pwn2Own’da Tesla’nın yanı sıra Oracle, Microsoft, Google, Zoom ve Adobe gibi büyük isimler de vardı. Microsoft SharePoint’te iki zafiyeti ortaya çıkaran Star Labs’e 100.000 dolar verildi. Microsoft Teams’de iki zafiyet bulan Team Viettel ise 75.000 dolar kazandı. Ayrıca Synacktiv, Oracle’ın Virtual Box’ına karşı bulduğu üç zafiyet için 80.000 dolar kazandı.
Toplamda 27 benzersiz zero-day hatası bulundu ve arabanın yanında toplam 1.035.000 dolar para ödülü verildi.
Derleyen: Merve Nur Sözen
