Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 25 Marzo 2023 20:35
Una Tesla è stata hackerata con successo alla conferenza Pwn2Own e, nel frattempo, gli hacker si sono aggiudicati un premio di 100.000 dollari, oltre alla Model 3 che sono riusciti a compromettere.
Negli ultimi anni, Tesla ha investito molto nella sicurezza informatica e ha lavorato a stretto contatto con i ricercatori di sicurezza e i bug hunter. La casa automobilistica ha partecipato alla competizione di hacking Pwn2Own offrendo grandi premi, oltre che le sue auto elettriche che gli hacker sono riusciti a compromettere.
L’hacking dei veicoli, e in particolare dei veicoli Tesla, è un punto saldo della conferenza Pwn2Own da diverso tempo. Zero Day Initiative, l’organizzazione che gestisce Pwn2Own, ha confermato che quest’anno non ha fatto eccezione e che la Tesla Model 3 che hanno portato è stata hackerata con successo, come viene riportato in questo tweet.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Creare Un Sistema Ai Di Visual Object Tracking (Hands on) Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy? Come Hackerare Un Sito WordPress (Hands on) Il Cyberbullismo Tra Virtuale E Reale Come Entrare Nel Dark Web In Sicurezza (Hands on)
Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
CONFIRMED! @Synacktiv successfully executed a TOCTOU exploit against Tesla – Gateway. They earn $100,000 as well as 10 Master of Pwn points and this Tesla Model 3. #Pwn2Own #P2OVancouver pic.twitter.com/W61NasJPAl
— Zero Day Initiative (@thezdi) March 22, 2023
Synacktiv ha confermato di essere riuscito a ottenere l’accesso root al sistema di Tesla e ha affermato di essere riuscito a “prendere il controllo” dell’intera vettura:
Dopo aver terminato il loro exploit in una stanza d’albergo, @_p0ly_ e @vdehors hanno compromesso con successo l’infotainment della Tesla Model 3 tramite Bluetooth e hanno elevato i loro privilegi a root!
Pwn2Own ha confermato che si trattava di un exploit completo di tipo Time-of-check-to-time-of-use (TOCTTOU – pronunciato TOCK-too).
Il termine “Time-of-check-to-time-of-use” (TOCTTOU) si riferisce ad una classe di vulnerabilità informatiche che si verificano quando un programma o un sistema effettua un controllo di sicurezza (time-of-check) in un momento, ma utilizza i risultati di tale controllo in un momento successivo (time-of-use) senza verificare se ci sono stati cambiamenti tra i due momenti.
In altre parole, il TOCTTOU si verifica quando un attaccante sfrutta il breve intervallo di tempo tra il controllo di sicurezza e l’utilizzo dei risultati di tale controllo per modificare l’ambiente di esecuzione e quindi violare la sicurezza del sistema.
Un esempio comune di vulnerabilità TOCTTOU si verifica quando un sistema di controllo degli accessi ad una risorsa controlla se l’utente corrente ha il permesso di accedere alla risorsa, ma l’utente riesce ad ottenere l’accesso modificando il proprio stato tra il momento in cui viene effettuato il controllo e il momento in cui viene concesso l’accesso.
Tutti i risultati di questi hack vengono condivisi con le aziende prima di essere divulgati per dar modo che vengano realizzate le patch necessarie a superare la problematica rilevata.
RedazioneA partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...
Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...
Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...
A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che&...
