Připojená auta jako cíl pro hackery

Připojená auta jako cíl pro hackery

Společnost VicOne, poskytovatel řešení kybernetické bezpečnosti pro automobilový průmysl, uspořádala na konci ledna v Automotive World v Tokiu svou první etickou hackerskou akci „Pwn2Own Automotive 2024“. Cílem bylo prozkoumat a překonat výzvy kybernetické bezpečnosti v automobilovém průmyslu. Akce měla velký úspěch. Konkrétně 17 bílých hackerských týmů nebo jednotlivců z devíti zemí, včetně Německa, provedlo celkem více než 50 různých hackerských přístupů ve čtyřech kategoriích: „Tesla“, „In-Vehicle Infotainment (IVI)“, „Nabíječky elektromobilů“ a „Operační systém“. Soutěžící soutěžili o celkem 1 323 750 $ v hotovosti a o ceny. Znepokojivý výsledek: Účastníci hackathonu během tří dnů akce objevili celkem 49 dříve neznámých bezpečnostních mezer (zranitelnosti nultého dne). Aby účastníci vyhráli svůj příslušný pokus o hackování, museli být schopni využít nově objevené zranitelnosti k útoku na cílové systémy a zařízení a provádět libovolné instrukce.

Akce však nebyla jen o prestiži a soutěži mezi nejlepšími white hat hackery na scéně, ale také o spolupráci v rámci automobilového průmyslu a s externími IT experty na kybernetickou bezpečnost, aby bylo celé odvětví bezpečnější. Výrobce elektromobilů Tesla, hlavní sponzor akce, zpřístupnil a otestoval své vlastní produkty, včetně modemu, infotainment systému a vozidla Model Y. Zúčastnění hackeři pocházeli ze zemí jako Vietnam, USA a Japonsko, ale také z Velké Británie, Maďarska, Holandska, Francie a Německa a své útoky prováděli částečně na dálku a částečně na místě. Z Německa se například zúčastnil tým Tortuga (remote) a tým fuzzware.io, kteří na místě prováděli své hacky.

Etičtí hackeři z fuzzware.io mají ovladač nabíjení „Sony SEC-3100“ úspěšně zacílen v kategorii nabíječek pro elektromobily. Se šesti pokusy o hackování patřili k nejvytíženějším účastníkům hackathonu. Tým Tortuga také zkontroloval nabíjecí stanici ChargePoint Home Flex v kategorii nabíječek pro elektromobily, zda neobsahuje možné bezpečnostní slabiny. Německý tým fuzzware.io se s celkovou výhrou 177 500 amerických dolarů umístil na velmi dobrém druhém místě a porazil jej pouze vítězný tým Synacktiv z Francie s celkovou výhrou 450 000 amerických dolarů, který nyní kromě celkového vítězství nese také titul „Master of Pwn“. Tato nadnárodní akce posloužila k propojení a propojení automobilového průmyslu s průmyslem kybernetické bezpečnosti a ke zdůraznění potenciálních hrozeb.