Összekapcsolt autók a hackerek célpontjaként

Összekapcsolt autók a hackerek célpontjaként

A VicOne, az autóipari kiberbiztonsági megoldások szolgáltatója január végén a tokiói Automotive Worldben rendezte meg első etikus hackelési rendezvényét, a „Pwn2Own Automotive 2024”-t. A cél az autóipar kiberbiztonsági kihívásainak kutatása és leküzdése volt. A rendezvény nagy sikert aratott. Pontosabban, kilenc országból, köztük Németországból származó 17 fehérkalapos hackercsapat vagy személy összesen több mint 50 különböző hacker-megközelítést vállalt négy kategóriában: „Tesla”, „Járműben lévő Infotainment (IVI)”, „EV-töltők” és „Operációs rendszer”. A versenyzők összesen 1 323 750 dollár készpénzért és díjakért versengtek. Az aggasztó eredmény: összesen 49 korábban ismeretlen biztonsági rést (nulladik napi sebezhetőséget) fedeztek fel a hackathon résztvevői az esemény három napja alatt. A hackelési kísérlet megnyeréséhez a résztvevőknek képesnek kellett lenniük arra, hogy kihasználják az újonnan felfedezett sebezhetőségeket, hogy megtámadják a célrendszereket és eszközöket, és tetszőleges utasításokat hajtsanak végre.

Az esemény azonban nem csak a presztízsről és a színtér legjobb fehérkalapos hackerei közötti versenyről szólt, hanem az autóiparon belüli együttműködésről és külső informatikai kiberbiztonsági szakértőkkel is, hogy az egész iparágat biztonságosabbá tegyék. Az elektromos járműveket gyártó Tesla, a rendezvény fő támogatója saját termékeit tette elérhetővé és tesztelte, köztük modemet, infotainment rendszert és egy Model Y járművet. A résztvevő hackerek Vietnamból, az USA-ból és Japánból, de Nagy-Britanniából, Magyarországról, Hollandiából, Franciaországból és Németországból is érkeztek, és részben távolról, részben a helyszínen hajtották végre támadásaikat. Németországból például a Tortuga csapata (távirányító) és a fuzzware.io csapata vett részt, akik a helyszínen hajtották végre a hackeléseket.

A fuzzware.io etikus hackerei a „Sony SEC-3100” töltésvezérlőt sikeresen megcélozták az elektromos járműtöltők kategóriájában. Hat hackelési kísérlettel a legforgalmasabb hackathon résztvevői közé tartoztak. A Team Tortuga ellenőrizte az elektromos jármű töltő kategóriába tartozó ChargePoint Home Flex töltőállomást is, hogy nem talál-e biztonsági réseket. A 177 500 dollár össznyereményével a német fuzzware.io csapata nagyon jó második helyen végzett, és csak a győztes francia Synacktiv csapata verte meg 450 000 dollár össznyereményével, amely immár az összesített győzelem mellett a „Pwn mestere” címet is viseli. A multinacionális esemény az autóipar és a kiberbiztonsági ipar összekapcsolását és hálózatba hozását, valamint a lehetséges veszélyekre való rávilágítást szolgálta.