Bild: @thezdi
Für vergangene Woche hatte die Organisation Zero Day Initiative eine Menge gefährlicher Leute eingeladen: In Vancoucer fand zum 15. Mal die Konferenz Pwn2Own statt, bei der Hacker versuchen, live neue Sicherheitslücken in wichtigen Produkten auszunutzen. Mehrere hatten sich wie in den Vorjahren Tesla vorgenommen – immerhin lockte als Sonderpreis das Model 3, das als Demonstrationsobjekt bereitstand. In diesem Jahr konnte es keiner mit nach Hause nehmen. Aber zwei Sicherheitsforscher gewannen mit einem erfolgreichen Angriff auf das Tesla-System immerhin genügend Geld, um sich sogar ein Model Y zu kaufen.
Zwei Gruppen nehmen sich Tesla vor
Tesla beteiligt sich seit mehreren Jahren an Pwn2Own. Die Idee dahinter ist, die besten Experten dazu zu bringen, die eigenen Produkte in einem kontrollierten Rahmen anzugreifen, damit Lücken gefunden werden, bevor weniger wohlmeinende Personen darauf stoßen. Die Ergebnisse werden veröffentlicht, aber erst drei Monate nach dem Wettbewerb, sodass den Herstellern vorher Zeit für Gegenmaßnahmen bleibt.
Die muss jetzt wohl auch Tesla entwickeln. Eine andere Gruppe scheiterte in der vorgegebenen Zeit zwar an dem Model 3, doch zwei Forscher der französischen Sicherheitsfirma drangen tatsächlich tiefer in sein System vor, als es vorgesehen ist. Sie hätten zwei einzelne Lücken zusammen mit einer bekannten Schwäche im Infotainment-System des Elektroautos vorgeführt, heißt es in der Beschreibung der Zero Day Initiative.
The @Synacktiv team shows off their remote exploit of the #Tesla Model 3. Earlier today, this research earned them $75,000 during #Pwn2Own. pic.twitter.com/PZDCcJJvcE
— Zero Day Initiative (@thezdi) May 20, 2022
Wie genau die beiden Profi-Hacker dabei vorgingen, wird erst die spätere Veröffentlichung verraten – und vielleicht schreibt Tesla Informationen dazu in die Hinweise zu einem kommenden Software-Update. Ein Twitter-Video von dem Wettbewerb zeigt aber schon das Ergebnis: Neben dem Model 3 kniend tippen die beiden kurz auf einem Laptop, dann öffnet sich die Frunk-Haube, und gleichzeitig werden Scheinwerfer sowie Scheibenwischer aktiviert. Das Publikum applaudiert.
Genügend Preisgeld für Model Y Performance
Neben dem Tesla wurden bei dem diesjährigen Wettbewerb eine Reihe von weiteren bekannten Produkten teilweise geknackt, unter anderem von Microsoft und Oracle. Als Hauptpreis waren 600.000 Dollar zusammen mit dem von Tesla gestellten Model 3 ausgeschrieben, doch den konnte sich offenbar keines der teilnehmenden Teams sichern. Die französischen Forscher bekamen für ihre Entdeckungen stattdessen 75.000 Dollar. Das würde immerhin ausreichen, um sich ein Model 3 selbst zu kaufen – oder sogar ein Model Y Performance, das in Frankreich derzeit knapp 67.000 Euro kostet.