Am dritten und letzten Tag das Hackerwettbewerbs Pwn2Own 2019 ist es den Forschern Amat Cama und Richard Zhu gelungen, das Infotainment-System eines Tesla Model 3 zu knacken. Ein Fehler im JIT-Compiler des Browser-Renderers erlaubte es ihnen, Code in der Firmware des Fahrzeugs auszuführen. Als Beleg für ihren erfolgreichen Angriff blendeten sie eine Nachricht im Display des Systems ein.
„In den kommenden Tagen werden wir ein Software-Update veröffentlichen, das sich mit dieser Forschung befasst“, sagte ein Tesla-Sprecher. „Wir wissen, dass diese Demonstration eine außerordentliche Anstrengung und Kompetenz erfordert, und wir danken den Forschern für ihre Arbeit, die uns dabei hilft, weiterhin sicherzustellen, dass unsere Autos die sichersten auf der Straße sind.“
Damit sicherte sich das Duo auch den Gesamtsieg des Wettbewerbs. Innerhalb von drei Tagen strichen sie Prämien von 375.000 Dollar ein. Insgesamt demonstrierten die Teilnehmer 19 unterschiedliche Bugs, unter anderem in Apple Safari, Microsoft Edge, Windows, VM Workstation und Mozilla Firefox, und kassierten dafür 545.000 Dollar.
Für Cama und Zhu ist es bereits der zweite Sieg bei Pwn2Own. Den im November 2018 in der japanischen Hauptstadt Tokio ausgetragenen Wettbewerb gewannen sie ebenfalls. Die Herbstausgabe von Pwn2Own beschäftigt sich stets mit mobilen Geräten. Unter anderem stellten sie vor vier Monaten auf einem iPhone ein gelöschtes Foto wieder her.
Die betroffenen Hersteller wurden bereits über die neu entdeckten Sicherheitslücken in ihren Produkten informiert. Als erster Anbieter reagierte nun Mozilla mit dem Update auf die Version 66.0.1. Es beseitigt zwei als kritisch eingestufte Schwachstellen, darunter die von Zhu und Cama demonstrierte Anfälligkeit im JIT-Compiler IonMonkey. Die zweite kritische Lücke stammte vom Forscher Niklas Baumstark, der die sie ebenfalls zuerst an Trend Micros Zero Day Initiative gemeldet hatte, den Veranstalter der Pwn2Own-Wettbewerbe.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
