Carros conectados como alvo de hackers

Carros conectados como alvo de hackers

VicOne, fornecedora de soluções de segurança cibernética para a indústria automotiva, organizou seu primeiro evento de hacking ético “Pwn2Own Automotive 2024” no Automotive World em Tóquio no final de janeiro. O objetivo era pesquisar e superar os desafios da segurança cibernética na indústria automotiva. O evento foi um grande sucesso. Especificamente, 17 equipes de hackers de chapéu branco ou indivíduos de nove países, incluindo a Alemanha, empreenderam um total de mais de 50 abordagens de hacking diferentes em quatro categorias: “Tesla”, “Infotainment no veículo (IVI)”, “Carregadores EV” e “Sistema Operacional”. Os competidores competiram por um total de US$ 1.323.750 em dinheiro e prêmios. O resultado preocupante: um total de 49 brechas de segurança anteriormente desconhecidas (vulnerabilidades de dia zero) foram descobertas pelos participantes do hackathon durante os três dias do evento. Para vencer a respectiva tentativa de hacking, os participantes tiveram que ser capazes de explorar as vulnerabilidades recém-descobertas para atacar sistemas e dispositivos alvo e executar instruções arbitrárias.

No entanto, o evento não foi apenas uma questão de prestígio e competição entre os melhores hackers de chapéu branco do mercado, mas também de colaboração dentro da indústria automóvel e com especialistas externos em segurança cibernética de TI para tornar toda a indústria mais segura. O fabricante de veículos elétricos Tesla, principal patrocinador do evento, disponibilizou e testou produtos próprios, incluindo um modem, um sistema de infotainment e um veículo Model Y. Os hackers participantes vieram de países como o Vietname, os EUA e o Japão, mas também da Grã-Bretanha, Hungria, Holanda, França e Alemanha e realizaram os seus ataques parcialmente remotamente e parcialmente no local. Da Alemanha, por exemplo, participaram a equipe Tortuga (remota) e a equipe fuzzware.io, realizando seus hacks no local.

Os hackers éticos da fuzzware.io têm o controlador de carregamento “Sony SEC-3100” direcionado com sucesso na categoria de carregadores de veículos elétricos. Com seis tentativas de hacking, eles estavam entre os participantes mais ocupados do hackathon. A equipe Tortuga também verificou a estação de carregamento ChargePoint Home Flex na categoria de carregadores de veículos elétricos em busca de possíveis vulnerabilidades de segurança. Com ganhos totais de 177.500 dólares americanos, a equipe alemã fuzzware.io conquistou um ótimo segundo lugar e só foi derrotada pela equipe vencedora Synacktiv da França com ganhos totais de 450.000 dólares americanos, que agora também carrega o título de “Master of Pwn” além da vitória geral. O evento multinacional serviu para conectar e interligar a indústria automotiva com a indústria de segurança cibernética e destacar ameaças potenciais.