El equipo Fluoroacetate fue el único que intentó hackear el Tesla Modelo 3, en el concurso Pwn2Own, que se llevó a cabo en conjunto con el concurso CanSecWest, que se desarrolló antes en este mismo mes. El hackeo realizado logró hacer al equipo Fluoroacetate acreedor a un buen premio en metálico.
Este concurso de hackeo tiene diferentes categorías. Este año se incluyó la de los automóviles, en donde se prometió precisamente un coche Tesla Modelo 3 a quien pudiese hackear su sistema de computación. Había seis posibles blancos, de diversa dificultad, precisamente para el automóvil Tesla. Pero había otras categorías: Virtualización, navegadores web, aplicaciones para negocios, hackeos en el lado del servidor, entre otros.
El Pwn2Own 2019 se realizó en 3 días. El equipo Fluoroacetato empezó el primer día con un hackeo en el navegador de Apple, Safari. De acuerdo con Dustin Childs, del blog Zero Day Initiative, “ellos explotaron los problemas del navegador y escaparon del arenero (en donde corre Safari como un ente autónomo para no involucrar ninguna otra parte del software), mediante un “integer overflow” en el navegador y un “heap overflow” para poderse salir del arenero (sandbox). El intento les llevó casi todo el tiempo disponible, porque usaron fuerza bruta para lograr su cometido. Por ello recibieron 55 mil dólares.
Después se pusieron como objetivo el Oracle Virtual Box. Fracasaron en un primer intento, pero en una segunda oportunidad lograron hackearlo. Por ello se llevaron 35 mil dólares. Entonces decidieron atacar la VMware Workstation, que es un software de virtualización. Lograron hackear el sistema y se llevaron por ello 70 mil dólares. Sin duda el equipo estaba feliz de su éxito, pues el primer día se llevaron unos 160 mil dólares en total.
El día dos, Fluoroacetate atacó Firefox. Usaron un bug en el JIT del navegador y tomaron control del sistema. Pudieron ejecutar código a nivel sistema usando Firefox para visitar sitios especialmente construidos. Estos esfuerzos fueron recompensados con otros 50 mil dólares.
Pero si esto fuera poco, decidieron atacar el cliente de VMware Workstation, abriendo primero Microsoft Edge y haciéndolo navegar por una página web especialmente hecha para este asunto. Desde ahí pudieron ejecutar código sin permiso del hypervisor. Esto fue un trabajo extraordinario, que les dio 130 mil dólares de premio. Para el día 2, el equipo Fluoroacetate tenía 340 mil dólares, dos terceras partes de los 510 mil dólares de premio que había para todos los concursantes.
El tercer día parecía iba a ser muy especial. Había dos equipos que parecía, competirían en la categoría automotriz, pero el equipo KunnaPwn decidió no participar. Fluoroacetate eligió la vulnerabilidad más sencilla, que valía unos 35 mil dólares. Lograron hackear al sistema y poner en la pantalla del Tesla un mensaje particular, acabando con la supuesta seguridad del sistema infotainment. Así pues, el equipo se llevó 375 mil dólares. Los ganadores son Amat Cama y Richard Zhu.
El equipo Fluoroacetate dejó Vancouver con cinco laptops de premio y el trofeo, que guardaron en la cajuela del Tesla Modelo 3 que ganaron.
