De jaarlijkse Pwn2Own-wedstrijd waar beveiligingsonderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte software en producten kunnen voor het eerst ook aanvallen tegen Microsoft Teams en Zoom laten zien. Dat meldt het Zero Day Initiave (ZDI), de organisatie die het evenement organiseert.

Vanwege het vele thuiswerken is besloten om videobelsoftware als nieuwe categorie toe te voegen. Een audiogesprek, videoconferentie of bericht waardoor gebruikers van Zoom of Teams zijn te compromitteren levert 200.000 dollar op. Een zelfde beloning wordt uitgekeerd voor aanvallen tegen Microsoft Exchange en het Windows remote desktopprotocol.

Aanvallen in Microsoft Edge Chromium en Google Chrome waardoor er volledige controle over het onderliggende systeem kan worden verkregen zijn goed voor elk 150.000 dollar. Een aanval tegen de virtualisatiesoftware Microsoft Hyper-V, waarbij het hostsysteem vanuit het gastsysteem kan worden overgenomen, levert 250.000 dollar op.

De hoogste beloning is echter weggelegd voor een succesvolle aanval tegen een Tesla Model 3. Een aanval via de tuner, wifi, bluetooth of modem op het infotainmentsysteem kan onderzoekers 500.000 dollar rijker maken. Met aanvullende aanvallen, waarbij bijvoorbeeld de autopiloot permanent wordt gecompromitteerd, kan dit bedrag worden verhoogd naar zelfs 600.000 dollar.

De Pwn2Own-wedstrijd vindt plaats van 6 tot en met 8 april. Kwetsbaarheden die de onderzoekers demonstreren worden gedeeld met de betreffende ontwikkelaars en leveranciers, zodat die beveiligingsupdates kunnen ontwikkelen. Pas daarna worden de details openbaar gemaakt.