Suche
Mein Konto
Verbonden auto's als doelwit voor hackers
Bij een hackwedstrijd in Tokio zijn 49 beveiligingsproblemen in verbonden voertuigen ontdekt.
Verbonden auto's als doelwit voor hackers
VicOne, een leverancier van cyberbeveiligingsoplossingen voor de auto-industrie, organiseerde eind januari zijn eerste ethische hackevenement “Pwn2Own Automotive 2024” in de Automotive World in Tokio. Het doel was om de uitdagingen van cyberbeveiliging in de auto-industrie te onderzoeken en te overwinnen. Het evenement was een groot succes. Concreet hebben 17 white hat-hackerteams of individuen uit negen landen, waaronder Duitsland, in totaal meer dan 50 verschillende hackbenaderingen uitgevoerd in vier categorieën: ‘Tesla’, ‘In-Vehicle Infotainment (IVI)’, ‘EV-laders’ en ‘Besturingssysteem’. De deelnemers streden om een totaalbedrag van $ 1.323.750 aan contant geld en prijzen. Het zorgwekkende resultaat: in totaal werden 49 voorheen onbekende beveiligingslekken (zero-day-kwetsbaarheden) ontdekt door de deelnemers aan de hackathon gedurende de drie dagen van het evenement. Om hun respectievelijke hackpoging te winnen, moesten deelnemers de nieuw ontdekte kwetsbaarheden kunnen misbruiken om doelsystemen en apparaten aan te vallen en willekeurige instructies uit te voeren.
Het evenement ging echter niet alleen over prestige en concurrentie tussen de beste white hat hackers in de scene, maar ook over samenwerking binnen de auto-industrie en met externe IT-cybersecurity-experts om de hele industrie veiliger te maken. De elektrische autofabrikant Tesla, de hoofdsponsor van het evenement, stelde eigen producten beschikbaar en testte, waaronder een modem, een infotainmentsysteem en een Model Y-voertuig. De deelnemende hackers kwamen uit landen als Vietnam, de VS en Japan, maar ook uit Groot-Brittannië, Hongarije, Nederland, Frankrijk en Duitsland en voerden hun aanvallen deels op afstand en deels ter plaatse uit. Vanuit Duitsland namen bijvoorbeeld het Tortuga-team (op afstand) en het fuzzware.io-team deel, dat ter plaatse hun hacks uitvoerde.
De ethische hackers van fuzzware.io hebben de oplaadcontroller “Sony SEC-3100” met succes getarget in de categorie van opladers voor elektrische voertuigen. Met zes hackpogingen behoorden ze tot de drukste hackathondeelnemers. Team Tortuga controleerde ook het ChargePoint Home Flex-laadstation in de categorie opladers voor elektrische voertuigen op mogelijke beveiligingsproblemen. Met een totale winst van 177.500 US dollar behaalde het Duitse team fuzzware.io een zeer goede tweede plaats en werd alleen verslagen door het winnende team Synacktiv uit Frankrijk met een totale winst van 450.000 US dollar, dat nu naast de eindzege ook de titel van “Master of Pwn” draagt. Het multinationale evenement diende om de auto-industrie te verbinden en te netwerken met de cyberbeveiligingsindustrie en om potentiële bedreigingen onder de aandacht te brengen.