두 명으로 구성된 팀, 대회 통해 총 37만 5천 달러 획득
테슬라 내 웹 브라우저 해킹도 성공...상금과 자동차까지
[보안뉴스 문가용 기자] 현재 캐나다 뱅쿠버에서 열리고 있는 해킹 대회인 폰투온(Pwn2Own)에서 한 팀이 테슬라 모델 3(Tesla Model 3)에 탑제된 웹 브라우저를 해킹하는 데 성공해 3만 5천 달러와 테슬라 모델 3 차량을 상금으로 받았다.
[이미지 = 테슬라 공식 웹사이트]
폰투온 행사 3일차는 자동차 해킹을 주제로 진행됐다. 이 날 참가하기로 등록한 팀은 원래 두 개였으나 행사 시작 수 시간 전 돌연 결정을 취소했다. 그래서 3일차 자동차 해킹 대회에 참가한 건 아맛 카마(Amat Cama)와 리차드 주(Richard Zhu)로 구성된 플루오로애서테이트(Fluoroacetate)라는 팀이 유일했다.
둘은 수 시간의 시도 끝에 결국 테슬라 차량에 설치된 웹 브라우저에 자신들의 메시지를 노출시키는 데 성공했다. 이들이 익스플로잇 한 건 렌더러 요소에 있었던 저스트 인 타임(just-in-time)이라는 버그였다. 둘은 상금 35000달러에 더해 자신들이 해킹한 차량도 갖게 됐다.
폰투온 대회에서 자동차 해킹이라는 카테고리가 이처럼 따로 준비된 건 이번이 처음이다. 플루오로애서테이트 팀이 처음부터 노린 것은 인포테인먼트 시스템이지만, 모뎀이나 튜너, 와이파이, 블루투스, 자동 열쇠, 오토파일럿과 같은 요소들에 더 많은 현상금이 걸려 있었다. 오토파일럿, 게이트웨이, 보안 시스템에 대한 해킹에 성공했을 경우 최대 상금은 25만 달러로 예정되어 있었다.
그러나 카마와 주가 폰투온 대회에서 가져간 총 상금은 37만 5천 달러다. 이 둘은 테슬라만이 아니라 사파리(Safari) 브라우저, 오라클 버추얼박스(Oracle VirtualBox), VM웨어 워크스테이션(VMWare Worksation), 파이어폭스(Firefox) 브라우저, 마이크로소프트 에지(Microsoft Edge) 브라우저에서도 최약점을 찾아냈기 때문이다.
그 외 많은 참가자들이 파이어폭스, 에지, 사파리, 버추얼박스 등에서 취약점을 찾아내고 해킹하는 데 성공했다. 폰투온 주최자들은 총 19개의 취약점을 이번 대회로 찾아냈고, 54만 5천 달러의 상금을 지출했다.
폰투온 주최자들은 이번 대회를 통해 보고된 모든 오류들을 각 벤더들에 전부 알렸다. 이 벤더들은 앞으로 90일 동안 해당 취약점들에 대한 패치들을 개발해 배포해야 한다. 그렇지 않으면 폰투온은 취약점들에 대한 세부 사항을 공개할 예정이라고 한다.
3줄 요약
1. 해킹 대회 폰투온, 캐나다에서 열림.
2. 3일차는 자동차 해킹을 테마로 진행됨.
3. 참가한 유일한 해킹 팀, 가장 비싼 해킹에는 실패했지만 웹 브라우저 해킹으로 자동차까지 상금으로 타감.
[국제부 문가용 기자(globoan@boannews.com)]
테슬라 내 웹 브라우저 해킹도 성공...상금과 자동차까지
[보안뉴스 문가용 기자] 현재 캐나다 뱅쿠버에서 열리고 있는 해킹 대회인 폰투온(Pwn2Own)에서 한 팀이 테슬라 모델 3(Tesla Model 3)에 탑제된 웹 브라우저를 해킹하는 데 성공해 3만 5천 달러와 테슬라 모델 3 차량을 상금으로 받았다.
[이미지 = 테슬라 공식 웹사이트]
폰투온 행사 3일차는 자동차 해킹을 주제로 진행됐다. 이 날 참가하기로 등록한 팀은 원래 두 개였으나 행사 시작 수 시간 전 돌연 결정을 취소했다. 그래서 3일차 자동차 해킹 대회에 참가한 건 아맛 카마(Amat Cama)와 리차드 주(Richard Zhu)로 구성된 플루오로애서테이트(Fluoroacetate)라는 팀이 유일했다.
둘은 수 시간의 시도 끝에 결국 테슬라 차량에 설치된 웹 브라우저에 자신들의 메시지를 노출시키는 데 성공했다. 이들이 익스플로잇 한 건 렌더러 요소에 있었던 저스트 인 타임(just-in-time)이라는 버그였다. 둘은 상금 35000달러에 더해 자신들이 해킹한 차량도 갖게 됐다.
폰투온 대회에서 자동차 해킹이라는 카테고리가 이처럼 따로 준비된 건 이번이 처음이다. 플루오로애서테이트 팀이 처음부터 노린 것은 인포테인먼트 시스템이지만, 모뎀이나 튜너, 와이파이, 블루투스, 자동 열쇠, 오토파일럿과 같은 요소들에 더 많은 현상금이 걸려 있었다. 오토파일럿, 게이트웨이, 보안 시스템에 대한 해킹에 성공했을 경우 최대 상금은 25만 달러로 예정되어 있었다.
그러나 카마와 주가 폰투온 대회에서 가져간 총 상금은 37만 5천 달러다. 이 둘은 테슬라만이 아니라 사파리(Safari) 브라우저, 오라클 버추얼박스(Oracle VirtualBox), VM웨어 워크스테이션(VMWare Worksation), 파이어폭스(Firefox) 브라우저, 마이크로소프트 에지(Microsoft Edge) 브라우저에서도 최약점을 찾아냈기 때문이다.
그 외 많은 참가자들이 파이어폭스, 에지, 사파리, 버추얼박스 등에서 취약점을 찾아내고 해킹하는 데 성공했다. 폰투온 주최자들은 총 19개의 취약점을 이번 대회로 찾아냈고, 54만 5천 달러의 상금을 지출했다.
폰투온 주최자들은 이번 대회를 통해 보고된 모든 오류들을 각 벤더들에 전부 알렸다. 이 벤더들은 앞으로 90일 동안 해당 취약점들에 대한 패치들을 개발해 배포해야 한다. 그렇지 않으면 폰투온은 취약점들에 대한 세부 사항을 공개할 예정이라고 한다.
3줄 요약
1. 해킹 대회 폰투온, 캐나다에서 열림.
2. 3일차는 자동차 해킹을 테마로 진행됨.
3. 참가한 유일한 해킹 팀, 가장 비싼 해킹에는 실패했지만 웹 브라우저 해킹으로 자동차까지 상금으로 타감.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
