Onderzoekers zijn er tijdens de Pwn2Own-wedstrijd in het Canadese Vancouver in geslaagd om het infotainmentsysteem van een Tesla Model 3 te hacken. Naast een beloning van 35.000 dollar mochten ze ook de auto houden. De aanval werd uitgevoerd via de browser van de auto.

Pwn2Own is een jaarlijks door het Zero Day Initiative terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in browsers en andere software. Voor het eerst in de geschiedenis van het evenement was er ook een auto als doelwit in het programma opgenomen. Oorspronkelijk zouden twee onderzoeksteams een aanval tegen de Tesla 3 demonstreren, maar één van de teams zag hier op het laatste moment vanaf.

Tijdens de derde en laatste dag van Pwn2Own hadden onderzoekers van Fluoroacetate het voorzien op het infotainmentsysteem van de Tesla 3, die op Chromium draait. Via een zogeheten JIT-bug in de render slaagden ze erin om hun code uit te voeren. Details van het beveiligingslek zijn met Tesla gedeeld, dat nu 90 dagen de tijd heeft om een oplossing te ontwikkelen. Naast de 35.000 dollar voor de gedemonstreerde kwetsbaarheid in het systeem mochten de onderzoekers ook de auto houden.

Tijdens de eerste twee dagen van de hackwedstrijd werden er onbekende kwetsbaarheden in Apple Safari, Microsoft Edge, Mozilla Firefox, Oracle Virtual Box en VMware Workstation gedemonstreerd. In totaal leverde het evenement 19 beveiligingslekken op waarvoor de onderzoekers 545.000 dollar ontvingen. Het Zero Day Initiative heeft de bugs met de leveranciers gedeeld. Standaard hanteert het Zero Day Initiative voor het verhelpen van gerapporteerde kwetsbaarheden een deadline van 90 dagen. Daarna worden de details openbaar gemaakt.