Свързаните автомобили като цел за хакери

Свързаните автомобили като цел за хакери

VicOne, доставчик на решения за киберсигурност за автомобилната индустрия, беше домакин на първото си етично хакерско събитие „Pwn2Own Automotive 2024“ в Automotive World в Токио в края на януари. Целта беше да се изследват и преодолеят предизвикателствата на киберсигурността в автомобилната индустрия. Събитието имаше голям успех. По-конкретно, 17 бели хакерски екипа или лица от девет държави, включително Германия, предприеха общо над 50 различни хакерски подхода в четири категории: „Tesla“, „In-Vehicle Infotainment (IVI)“, „EV зарядни устройства“ и „Операционна система“. Състезателите се състезаваха за общо $1,323,750 в пари и награди. Притеснителният резултат: Общо 49 неизвестни преди пропуски в сигурността (уязвимости от нулев ден) бяха открити от участниците в хакатона през трите дни на събитието. За да спечелят съответния си опит за хакване, участниците трябваше да могат да използват новооткритите уязвимости, за да атакуват целеви системи и устройства и да изпълняват произволни инструкции.

Събитието обаче не беше само за престиж и конкуренция между най-добрите бели хакери на сцената, но и за сътрудничество в рамките на автомобилната индустрия и с външни експерти по ИТ киберсигурност, за да направи цялата индустрия по-сигурна. Производителят на електрически превозни средства Tesla, главният спонсор на събитието, предостави свои собствени продукти достъпни и тествани, включително модем, информационно-развлекателна система и превозно средство Model Y. Участващите хакери идват от страни като Виетнам, САЩ и Япония, но също и от Великобритания, Унгария, Холандия, Франция и Германия и извършват своите атаки отчасти от разстояние и отчасти на място. От Германия например се включиха екипът на Tortuga (дистанционно) и екипът на fuzzware.io, които извършиха хаковете си на място.

Етичните хакери от fuzzware.io имат контролера за зареждане „Sony SEC-3100“, успешно насочен към категорията зарядни устройства за електрически превозни средства. С шест опита за хакване те бяха сред най-натоварените участници в хакатона. Екипът Tortuga също провери станцията за зареждане ChargePoint Home Flex в категорията зарядни устройства за електрически превозни средства за възможни пропуски в сигурността. С обща печалба от 177 500 щатски долара немският отбор fuzzware.io зае много добро второ място и беше победен само от отбора победител Synacktiv от Франция с обща печалба от 450 000 щатски долара, който сега носи и титлата „Master of Pwn“ в допълнение към общата победа. Многонационалното събитие послужи за свързване и свързване на автомобилната индустрия с индустрията за киберсигурност и подчертаване на потенциални заплахи.