Le auto connesse come bersaglio degli hacker

Le auto connesse come bersaglio degli hacker

VicOne, fornitore di soluzioni di sicurezza informatica per l’industria automobilistica, ha ospitato il suo primo evento di hacking etico “Pwn2Own Automotive 2024” all’Automotive World di Tokyo alla fine di gennaio. L’obiettivo era ricercare e superare le sfide della sicurezza informatica nel settore automobilistico. L'evento è stato un grande successo. Nello specifico, 17 team o individui di hacker white hat provenienti da nove paesi, inclusa la Germania, hanno intrapreso un totale di oltre 50 diversi approcci di hacking in quattro categorie: “Tesla”, “In-Vehicle Infotainment (IVI)”, “EV Chargers” e “Operating System”. I concorrenti hanno gareggiato per un totale di $ 1.323.750 in contanti e premi. Il risultato preoccupante: nei tre giorni dell’evento i partecipanti all’hackathon hanno scoperto un totale di 49 lacune di sicurezza precedentemente sconosciute (vulnerabilità zero-day). Per vincere il rispettivo tentativo di hacking, i partecipanti dovevano essere in grado di sfruttare le vulnerabilità appena scoperte per attaccare sistemi e dispositivi target ed eseguire istruzioni arbitrarie.

Tuttavia, l’evento non è stato solo una questione di prestigio e competizione tra i migliori hacker white hat sulla scena, ma anche di collaborazione all’interno dell’industria automobilistica e con esperti esterni di sicurezza informatica IT per rendere l’intero settore più sicuro. Il produttore di veicoli elettrici Tesla, sponsor principale dell'evento, ha messo a disposizione e testato i propri prodotti, tra cui un modem, un sistema di infotainment e un veicolo Model Y. Gli hacker partecipanti provenivano da paesi come Vietnam, Stati Uniti e Giappone, ma anche da Gran Bretagna, Ungheria, Olanda, Francia e Germania e hanno sferrato i loro attacchi in parte a distanza e in parte sul posto. Dalla Germania, ad esempio, hanno preso parte il team Tortuga (remoto) e il team fuzzware.io, che hanno effettuato i loro hack in loco.

Gli hacker etici di fuzzware.io hanno preso di mira con successo il controller di ricarica "Sony SEC-3100" nella categoria dei caricabatterie per veicoli elettrici. Con sei tentativi di hacking sono stati tra i partecipanti più impegnati all'hackathon. Il Team Tortuga ha anche controllato la stazione di ricarica ChargePoint Home Flex nella categoria caricabatterie per veicoli elettrici per possibili vulnerabilità di sicurezza. Con una vincita totale di 177.500 dollari USA, il team tedesco fuzzware.io ha ottenuto un ottimo secondo posto ed è stato battuto solo dal team vincitore francese Synacktiv con una vincita totale di 450.000 dollari USA, che ora oltre alla vittoria assoluta porta anche il titolo di "Master of Pwn". L’evento multinazionale è servito a connettere e mettere in rete l’industria automobilistica con l’industria della sicurezza informatica ed evidenziare potenziali minacce.