Sacar las vergüenzas de Tesla tiene premio: unos hackers ‘roban’ un Model 3 en tres minutos para ganar medio millón y el coche

Sacar las vergüenzas de Tesla tiene premio: unos hackers 'roban' un Model 3 en tres minutos para ganar medio millón y el coche

Un equipo de hackers éticos que competía en la conferencia de hacking Pwn2Own 2023 celebrada en Vancouver la semana pasada ganó un Tesla Model 3 y 350.000 dólares tras hackear un Tesla vía Bluetooth y el sistema de infoentretenimiento del coche en tan sólo dos minutos.

Pwn2Own, que se lee en realidad “pawn to own” y que se traduciría por algo así como “si lo hackeas, es tuyo”, es un concurso de hackeo ético. Y este año, uno de los productos que debían hackear era un Tesla Model 3.

Investigadores de la empresa francesa Synacktiv, especializada en pruebas de penetración y auditorías de seguridad, aprovecharon dos vulnerabilidades diferentes para acceder en dos ocasiones a las entrañas del sistema informático de un Tesla Model 3.

Para ello, los chicos de Synacktiv usaron dos exploits diferentes. Un exploit es un software, datos o una secuencia de comandos que aprovecha un error o una vulnerabilidad para provocar un comportamiento involuntario o imprevisto. En este primer exploit accedieron al sistema de gestión de energía Gateway de Tesla.

En este primer ataque, los investigadores podían en teoría, entre otras cosas, abrir el maletero o la puerta delantera de un Tesla Model 3, incluso estando el coche en movimiento. El ataque duró menos de dos minutos y les valió un Tesla Model 3 nuevo como recompensa, así como un premio en metálico de 100.000 dólares.

Tomar el control de un Tesla Model 3 en cuatro minutos

Synactiv Pwn2wn

En el segundo ataque, llegó menos de dos minutos después. Aprovecharon una “vulnerabilidad de desbordamiento y un error de escritura fuera de los límites en un chip Bluetooth” para acceder al sistema de infoentretenimiento de Tesla. Y ahora, viene lo bueno, a partir de ahí obtuvieron un acceso root a otros subsistemas.

El root es aquel que posee todos los privilegios del sistema, como manejo de permisos, procesos, usuarios, etc. Además, es el responsable de administrar y mantener la integridad del sistema. Es decir, accedieron al software del Tesla de tal manera que si querían podían tomar el control absoluto del coche.

Por este logro, el equipo recibió un premio de nivel 2 de la Zero Day Initiative, es la primera vez en la historia de la competición que un equipo alcanza ese premio. El equipo Synacktiv ganó un total de 530.000 dólares y el Tesla Model 3.

Técnicamente, el hackeo no se realizó dentro del coche. La pantalla de infoentretenimiento se retiró del vehículo para evitar cualquier comportamiento inesperado del propio coche a raíz del ataque. Aún así, la pantalla ejecutó el sistema operativo del vehículo como si estuviera en el coche.

“Por supuesto, nos gustaría hacer esto en el propio coche, pero hay demasiadas variables que lo harían potencialmente peligroso para los que están alrededor”, explican desde Zero Day Initiative. “Preferimos un entorno agradable y controlado”.

Aunque a primera vista, para quien no esté familiarizado con ello, puede sorprender que se organicen competiciones de piratería informática es, sin embargo, algo positivo. Al dar incentivos a los investigadores de seguridad, los fabricantes de automóviles están mejorando así la seguridad de sus coches y sus sistemas conectados.

Algunas marcas ofrecen incluso recompensas para quienes detecten una vulnerabilidad en sus sistemas, como Tesla que paga 15.000 dólares por hallazgo.

Algunas marcas, sin embargo, no cuentan con este tipo de incentivos. Además, según un informe de HackerOne, los que lo hacen no pagan lo suficientemente a los “hackers buenos”, hasta el punto que podrían cambiar de bando algún día.


La noticia

Sacar las vergüenzas de Tesla tiene premio: unos hackers ‘roban’ un Model 3 en tres minutos para ganar medio millón y el coche

fue publicada originalmente en

Motorpasión

por
Daniel Murias

.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *