Τα συνδεδεμένα αυτοκίνητα ως στόχος χάκερ

Τα συνδεδεμένα αυτοκίνητα ως στόχος χάκερ

Η VicOne, πάροχος λύσεων κυβερνοασφάλειας για την αυτοκινητοβιομηχανία, φιλοξένησε την πρώτη της εκδήλωση ηθικής hacking «Pwn2Own Automotive 2024» στο Automotive World στο Τόκιο στα τέλη Ιανουαρίου. Στόχος ήταν η έρευνα και η υπέρβαση των προκλήσεων της κυβερνοασφάλειας στην αυτοκινητοβιομηχανία. Η εκδήλωση στέφθηκε με μεγάλη επιτυχία. Συγκεκριμένα, 17 ομάδες ή άτομα με λευκά καπέλα από εννέα χώρες, συμπεριλαμβανομένης της Γερμανίας, ανέλαβαν συνολικά πάνω από 50 διαφορετικές προσεγγίσεις hacking σε τέσσερις κατηγορίες: «Tesla», «In-Vehicle Infotainment (IVI)», «EV Chargers» και «Operating System». Οι διαγωνιζόμενοι διαγωνίστηκαν για συνολικά 1.323.750 δολάρια σε μετρητά και βραβεία. Το ανησυχητικό αποτέλεσμα: Συνολικά 49 άγνωστα προηγουμένως κενά ασφαλείας (ευπάθειες μηδενικής ημέρας) ανακαλύφθηκαν από τους συμμετέχοντες στο hackathon κατά τη διάρκεια των τριών ημερών της εκδήλωσης. Για να κερδίσουν την αντίστοιχη απόπειρα hacking, οι συμμετέχοντες έπρεπε να είναι σε θέση να εκμεταλλευτούν τα τρωτά σημεία που ανακαλύφθηκαν πρόσφατα για να επιτεθούν σε συστήματα και συσκευές στόχων και να εκτελέσουν αυθαίρετες οδηγίες.

Ωστόσο, η εκδήλωση δεν αφορούσε μόνο το κύρος και τον ανταγωνισμό μεταξύ των καλύτερων χάκερ λευκών καπέλων στη σκηνή, αλλά και για τη συνεργασία εντός της αυτοκινητοβιομηχανίας και με εξωτερικούς ειδικούς στον τομέα της κυβερνοασφάλειας πληροφορικής για να γίνει ολόκληρος ο κλάδος πιο ασφαλής. Ο κατασκευαστής ηλεκτρικών οχημάτων Tesla, ο κύριος χορηγός της εκδήλωσης, διέθεσε και δοκίμασε τα δικά της προϊόντα, συμπεριλαμβανομένου ενός μόντεμ, ενός συστήματος infotainment και ενός οχήματος Model Y. Οι συμμετέχοντες χάκερ προέρχονταν από χώρες όπως το Βιετνάμ, οι ΗΠΑ και η Ιαπωνία, αλλά και από τη Μεγάλη Βρετανία, την Ουγγαρία, την Ολλανδία, τη Γαλλία και τη Γερμανία και πραγματοποίησαν τις επιθέσεις τους εν μέρει εξ αποστάσεως και εν μέρει επί τόπου. Από τη Γερμανία, για παράδειγμα, συμμετείχαν η ομάδα Tortuga (απομακρυσμένη) και η ομάδα fuzzware.io, πραγματοποιώντας τα hack τους επί τόπου.

Οι ηθικοί χάκερ από το fuzzware.io έχουν στοχεύσει με επιτυχία τον ελεγκτή φόρτισης «Sony SEC-3100» στην κατηγορία φορτιστών ηλεκτρικών οχημάτων. Με έξι απόπειρες hacking, ήταν από τους πιο πολυάσχολους συμμετέχοντες στο hackathon. Η ομάδα Tortuga έλεγξε επίσης τον σταθμό φόρτισης ChargePoint Home Flex στην κατηγορία φορτιστών ηλεκτρικών οχημάτων για πιθανές ευπάθειες ασφαλείας. Με συνολικά κέρδη 177.500 δολαρίων ΗΠΑ, η γερμανική ομάδα fuzzware.io πήρε μια πολύ καλή δεύτερη θέση και ηττήθηκε μόνο από τη νικήτρια ομάδα Synacktiv από τη Γαλλία με συνολικά κέρδη 450.000 δολαρίων ΗΠΑ, η οποία πλέον φέρει και τον τίτλο του «Master of Pwn» εκτός από τη συνολική νίκη. Η πολυεθνική εκδήλωση χρησίμευσε για τη σύνδεση και τη δικτύωση της αυτοκινητοβιομηχανίας με τη βιομηχανία της κυβερνοασφάλειας και την ανάδειξη πιθανών απειλών.