Prepojené autá ako cieľ pre hackerov

Prepojené autá ako cieľ pre hackerov

Spoločnosť VicOne, poskytovateľ riešení kybernetickej bezpečnosti pre automobilový priemysel, usporiadala koncom januára v Automotive World v Tokiu svoje prvé etické hackerské podujatie „Pwn2Own Automotive 2024“. Cieľom bolo preskúmať a prekonať výzvy kybernetickej bezpečnosti v automobilovom priemysle. Podujatie malo veľký úspech. Konkrétne 17 hackerských tímov alebo jednotlivcov z deviatich krajín vrátane Nemecka vykonalo celkovo viac ako 50 rôznych hackerských prístupov v štyroch kategóriách: „Tesla“, „In-Vehicle Infotainment (IVI)“, „Nabíjačky EV“ a „Operačný systém“. Súťažiaci súťažili o celkovú sumu 1 323 750 USD v hotovosti a vecné ceny. Znepokojujúci výsledok: Účastníci hackathonu počas troch dní akcie objavili celkovo 49 predtým neznámych bezpečnostných medzier (zraniteľnosti nultého dňa). Aby účastníci vyhrali svoj príslušný pokus o hackovanie, museli byť schopní využiť novoobjavené zraniteľnosti na útok na cieľové systémy a zariadenia a vykonávať ľubovoľné pokyny.

Podujatie však nebolo len o prestíži a súťaži medzi najlepšími white hat hackermi na scéne, ale aj o spolupráci v rámci automobilového priemyslu a s externými IT expertmi na kybernetickú bezpečnosť, aby bolo celé odvetvie bezpečnejšie. Výrobca elektromobilov Tesla, hlavný sponzor podujatia, sprístupnil a otestoval svoje vlastné produkty vrátane modemu, informačno-zábavného systému a vozidla Model Y. Zúčastnení hackeri pochádzali z krajín ako Vietnam, USA a Japonsko, ale aj z Veľkej Británie, Maďarska, Holandska, Francúzska a Nemecka a svoje útoky vykonávali čiastočne na diaľku a čiastočne na mieste. Z Nemecka sa napríklad zúčastnil tím Tortuga (vzdialený) a tím fuzzware.io, ktorí svoje hacky vykonávali priamo na mieste.

Etickí hackeri z fuzzware.io majú nabíjací ovládač „Sony SEC-3100“ úspešne zameraný na kategóriu nabíjačiek pre elektrické vozidlá. So šiestimi pokusmi o hackovanie patrili medzi najvyťaženejších účastníkov hackathonu. Tím Tortuga tiež skontroloval nabíjaciu stanicu ChargePoint Home Flex v kategórii nabíjačiek pre elektrické vozidlá, či neobsahuje možné bezpečnostné slabiny. Nemecký tím fuzzware.io sa s celkovou výhrou 177 500 amerických dolárov umiestnil na veľmi dobrom druhom mieste a porazil ho iba víťazný tím Synacktiv z Francúzska s celkovou výhrou 450 000 amerických dolárov, ktorý teraz okrem celkového víťazstva nesie aj titul “Master of Pwn”. Nadnárodné podujatie slúžilo na prepojenie a sieťovanie automobilového priemyslu s priemyslom kybernetickej bezpečnosti a upozornilo na potenciálne hrozby.