In nur zwei Tagen haben Forscher auf der Pwn2Own 2024 in Tokio eine Vielzahl von Ladegeräten für Elektrofahrzeuge, Betriebssysteme und Tesla-Komponenten kompromittiert und dabei Dutzende Zero-Day-Schwachstellen aufgedeckt.
Letztes Jahr liebäugelte Pwn2Own in Vancouver mit Autos als Angriffsfläche und fügte neben Wettbewerben auch Teslas hinzu, um traditionellere Server, Unternehmensanwendungen, Browser und dergleichen zu hacken. Aber die diesjährige Veranstaltung gab Vollgas und die Ergebnisse waren aufschlussreich. Am ersten Tag Allein die Teilnehmer demonstrierten 24 einzigartige Zero-Days und brachten ihnen einen Gewinn von 722,500 US-Dollar ein. Tag zwei sah 20 neue Heldentaten und der letzte, dritte Tag verspricht noch neun weitere.
„Fahrzeuge werden immer mehr zu einem komplexen System von Systemen“, sagt Dustin Childs, Leiter der Abteilung Bedrohungsbewusstsein bei der Zero Day Initiative (ZDI) von Trend Micro, der Gruppe, die die Veranstaltung veranstaltet. „In diesem Bereich wurde in der Vergangenheit nicht viel geforscht, und unserer Erfahrung nach bedeutet der Mangel an externer Kontrolle, dass es viele Sicherheitsprobleme geben könnte.“
Hacking in Teslas
Das für Schlagzeilen sorgende Ereignis beim letztjährigen Pwn2Own war, als es einem Team von Synacktiv aus Toulouse gelang Durchbrechen Sie ein Tesla Model 3 in weniger als zwei Minuten.
In diesem Jahr ist Synacktiv mit Exploits der Ubiquiti Connect und JuiceBox 40 Smart EV-Ladestationen, dem ChargePoint Home Flex (einem Elektrofahrzeug-Ladetool für zu Hause) und dem selbsterklärenden Automotive Grade Linux zurückgekehrt. Seine bemerkenswertesten Erfolge waren jedoch eine Exploit-Kette mit drei Fehlern gegen Teslas Modem und eine Exploit-Kette mit zwei Fehlern gegen das Infotainmentsystem, die jeweils einen Geldpreis von 100,000 US-Dollar einbrachten.
Den Regeln der Veranstaltung zufolge haben Anbieter 90 Tage Zeit, ihre Sicherheitslücken zu beheben, bevor sie öffentlich bekannt gegeben werden dürfen. Aber in einer E-Mail aus Tokio gaben die Synacktiv-Cracker Dark Reading einen allgemeinen Überblick darüber, wie die Angriffe aussahen:
„Der Angriff wird von einer GSM-Antenne gesendet, die einen gefälschten BTS (Rogue Telecom Operator) emuliert. Eine erste Schwachstelle ermöglicht Root-Zugriff auf die Modemkarte des Tesla“, schrieben sie. „Ein zweiter Angriff springt vom Modem auf das Infotainmentsystem über. Und unter Umgehung der Sicherheitsfunktionen dieses Prozesses ist es möglich, auf mehrere Geräte des Autos zuzugreifen, wie zum Beispiel die Scheinwerfer, die Scheibenwischer oder den Kofferraum und die Türen zu öffnen.“
Bei Teslas, sagt Renaud Feil, CEO von Synacktiv, „ist es eine zweiseitige Medaille.“ Es ist ein Auto, das eine riesige Angriffsfläche hat – in einem Tesla ist alles IT. Aber sie haben auch ein starkes Sicherheitsteam und versuchen, der Sicherheit große Aufmerksamkeit zu schenken. Es ist also ein großes Ziel, aber es ist ein schwieriges Ziel.“
Moderne Autos am Scheideweg
„Die Angriffsfläche des Autos wächst und wird immer interessanter, weil die Hersteller drahtlose Konnektivitäten und Anwendungen hinzufügen, die einen Fernzugriff auf das Auto über das Internet ermöglichen“, sagt Feil.
Ken Tindell, Chief Technology Officer von Canis Automotive Labs, unterstützt diesen Punkt. „Was wirklich interessant ist, ist, wie so viel Wiederverwendung von Mainstream-Computing in Autos alle Sicherheitsprobleme mit sich bringt, die Mainstream-Computing in Autos mit sich bringt.“
„Bei Autos gibt es diese Zwei-Welten-Sache schon seit mindestens 20 Jahren“, erklärt er. Erstens: „Sie haben Mainstream-Computing (nicht sehr gut gemacht) im Infotainmentsystem.“ Wir kennen das schon seit einiger Zeit in Autos und es ist die Ursache für eine Vielzahl von Schwachstellen – bei Bluetooth, Wi-Fi und so weiter. Und dann gibt es noch die Steuerelektronik, und die beiden sind sehr unterschiedliche Bereiche. Natürlich gibt es dann Probleme mit dem Infotainment beginnt, den CAN-Bus zu berühren das betrifft die Bremsen, die Scheinwerfer und ähnliches.“
Es handelt sich um ein Rätsel, das OT-Fachkräften bekannt sein sollte: IT-Geräte neben sicherheitskritischen Maschinen so zu verwalten, dass beide zusammenarbeiten können, ohne die Belästigungen der ersteren auf die letzteren zu übertragen. Und natürlich die unterschiedlichen Produktlebenszyklen zwischen IT- und OT-Technologie – Autos halten viel länger als beispielsweise Laptops – was die Kluft nur noch kleiner macht.
Wie Autosicherheit aussehen könnte
Um sich ein Bild davon zu machen, wohin sich die Cybersicherheit in Fahrzeugen entwickelt, könnte man beim Infotainment beginnen – der größten und offensichtlichsten Angriffsfläche in Autos heutzutage. Hier haben sich zwei Denkschulen entwickelt.
„Eine davon ist: Machen wir uns einfach keine Gedanken, denn die Produktzyklen im Auto werden nie hinterherkommen. Apple CarPlay und Android Auto – das ist der Weg in die Zukunft. Der Autohersteller stellt also einen Bildschirm zur Verfügung, und dann sorgt Ihr Telefon für das Infotainment“, erklärt Tindell. „Ich denke, das ist ein guter Ansatz, denn Ihr Telefon liegt eindeutig in Ihrer Verantwortung, Apple hält es auf dem neuesten Stand, es ist alles gepatcht und dann stellt Ihr Auto nur noch einen Bildschirm zur Verfügung.“
„Die andere Denkrichtung besteht darin, diesen großen Unternehmen die Kontrolle über die Schlüsselfunktionen Ihrer Autos zu überlassen. Lizenzieren Sie ein Betriebssystem von Google, und jetzt ist es das Google CarPlay-Äquivalent, aber direkt mit dem Auto verbunden“, sagt er. Unter der Leitung eines Unternehmens wie Google „gibt es dafür einen Update-Mechanismus, genau wie es seine Pixel-Telefone aktualisiert.“ Die Frage ist: Werden Sie in 10 Jahren immer noch Updates für Ihr Auto erhalten, wenn Google langweilig wird und versucht, es abzuschalten?“
Aber selbst wenn es den Herstellern gelingt, einen Teil der Angriffsfläche zu verkleinern (unwahrscheinlich) oder die Verantwortung für die Überwachung an Dritte auszulagern (unvollkommen), hat Pwn2Own 2024 gezeigt, dass sie noch weitaus mehr Probleme zu verantworten haben: EV Ladegeräte bis hin zu Modems, Betriebssystemen und mehr.
Wohin die Industrie gehen muss
Für Tindell ist es wirklich wichtig, die Mainstream-Computing-Firewalls von den Kontrollsystemen fernzuhalten, damit es zu Engpässen kommt. „Leider sind einige der Schwachstellen bisher noch nicht sehr gut entwickelt und man kann sie am Ende einer Kette von Exploits knacken“, fügt er hinzu.
„Ich denke, sie wissen, was zu tun ist“, sagt Feil von Synacktiv. „Es ist derselbe Prozess, der auch für den Rest der IT-Branche gilt: Investieren Sie in Cybersicherheit, führen Sie einige Audits durch und hacken Sie Ihre Daten, bis es sehr schwierig wird, sie zu hacken.“
Um die Hersteller an diesen Punkt zu bringen, ist seiner Meinung nach möglicherweise ein Eingreifen von außen erforderlich. „Die Branche konnte dagegen vorgehen und die Regulierung einschränken“, sagt Feil. „Ihr Narrativ lautet: Wir haben es schwer, weil alle von uns verlangen, auf Elektroautos umzusteigen, und das könnte sich stark auf unser Geschäftsergebnis auswirken. Aber sie müssen zeigen, dass sie etwas tun, wenn es um Cybersicherheit geht.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 000
- 10
- 20
- 20 Jahre
- 2024
- 24
- 40
- 500
- 7
- a
- Fähig
- Zugang
- Konto
- Leistungen
- Hinzufügen
- Fügt
- beeinflussen
- gegen
- Alle
- erlauben
- erlaubt
- allein
- entlang
- neben
- ebenfalls
- an
- und
- androide
- Apple
- Anwendungen
- gilt
- Ansatz
- SIND
- Bereich
- AS
- fragen
- At
- Attacke
- Anschläge
- Aufmerksamkeit
- Audits
- Auto
- Automobilindustrie
- Bewusstsein
- Zurück
- basierend
- BE
- weil
- Werden
- war
- Bevor
- glaubt,
- zwischen
- Big
- Größte
- Bluetooth
- Gelangweilt
- Mühe
- Boden
- Brings
- Browsern
- aber
- CAN
- Auto
- Karte
- Autos
- Bargeld
- CEO
- Kette
- berechnen
- aufladen
- Chef
- Chief Technology Officer
- Münze
- kommt
- Unternehmen
- Unternehmen
- Ligen
- Komplex
- Komponenten
- Kompromittiert
- Computing
- Vernetz Dich
- Berücksichtigung
- Smartgeräte App
- Rätsel
- könnte
- Kurs
- Riss
- Internet-Sicherheit
- Zyklen
- Dunkel
- Dunkle Lektüre
- Datum
- Tag
- Tage
- Synergie
- Entwicklung
- schwer
- Direkt
- disparat
- do
- Dabei
- Domains
- erledigt
- Türen
- nach unten
- Dutzende
- jeder
- Gesamt-Einnahmen abzüglich Provision
- Die elektrische
- Elektro-Autos
- Elektrofahrzeug
- Elektronik
- Ende
- Unternehmen
- Ausrüstung
- Äquivalent
- EV
- Sogar
- Event
- jedermann
- alles
- ERFAHRUNGEN
- Erklärt
- Ausnutzen
- Abenteuer
- extern
- Fälschung
- vertraut
- weit
- Eigenschaften
- Finale
- Vorname
- Mängel
- Aussichten für
- Früher
- vorwärts
- für
- voller
- Funktionen
- Lücke
- gab
- bekommen
- bekommen
- gibt
- gehen
- gut
- habe
- Klasse
- Gruppe an
- persönlichem Wachstum
- hacken
- Hacks
- hätten
- hart
- Haben
- Port
- mit
- he
- ganzer
- schwer
- hier
- High-Level
- Startseite
- Hosting
- Ultraschall
- HTTPS
- riesig
- i
- if
- Image
- wichtig
- in
- zunehmend
- Energiegewinnung
- Initiative
- interessant
- Internet
- Intervention
- in
- Investieren
- Probleme
- IT
- IT Industrie
- SEINE
- jpg
- Sprünge
- nur
- Behalten
- hält
- Wesentliche
- Wissen
- Labs
- Mangel
- Laptops
- Nachname
- Letztes Jahr
- dauerhaft
- am wenigsten
- weniger
- lassen
- Lizenz
- Lebensdauer
- Gefällt mir
- Line
- linux
- ll
- länger
- aussehen
- sah
- Los
- Maschinen
- Mainstream
- um
- verwalten
- verwaltet
- flächendeckende Gesundheitsprogramme
- Hersteller
- Hersteller
- Kann..
- Mittel
- Mechanismus
- Metall
- Mikrofon
- könnte
- mischen
- Modell
- mehr
- vor allem warme
- viel
- mehrere
- sollen
- NARRATIVE
- hört niemals
- Neu
- neun
- bemerkenswert
- jetzt an
- Anzahl
- offensichtlich
- of
- WOW!
- Offizier
- on
- einmal
- EINEM
- einzige
- XNUMXh geöffnet
- die
- Betriebssystem
- Betriebssysteme
- Operator
- or
- Andere
- UNSERE
- aussen
- auslagern
- übrig
- beaufsichtigen
- Überblick
- Teil
- Parteien
- passt
- AUFMERKSAMKEIT
- Telefon
- Telefone
- Pixel
- Plato
- Datenintelligenz von Plato
- PlatoData
- Points
- möglich
- Preis
- Probleme
- Prozessdefinierung
- Produkt
- Promises
- bietet
- Bereitstellung
- öffentlich
- Push
- zurückschieben
- Pwn2Own
- Frage
- RE
- Lesebrillen
- wirklich
- Rechtliches
- entfernt
- erfordern
- Forschungsprojekte
- Forscher
- Verantwortung
- REST
- eine Beschränkung
- Die Ergebnisse
- Wiederverwendung
- Wurzel
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- s
- gleich
- sah
- sagt
- Schule
- Schulen
- Bildschirm
- Überprüfung
- Zweite
- Sekunden
- Sicherheitdienst
- geschickt
- getrennte
- Fertige Server
- dient
- sollte
- erklären
- geschlossen
- smart
- So
- bis jetzt
- einige
- etwas
- Quelle
- Verbreitung
- Drücken
- Anfang
- Stations
- Immer noch
- stark
- so
- Oberfläche
- Schalter
- System
- Systeme und Techniken
- Nehmen
- sprechen
- Target
- Team
- Tech
- Technologie
- Telekom
- Tesla
- Teslas
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Die Quelle
- ihr
- Sie
- dann
- Dort.
- Diese
- vom Nutzer definierten
- Ding
- think
- Dritte
- dritte seite
- fehlen uns die Worte.
- dieses Jahr
- obwohl?
- dachte
- Bedrohung
- Zeit
- zu
- heute
- gemeinsam
- Tokio
- Werkzeug
- aufnehmen
- zäh
- traditionell
- Trend
- versuchen
- XNUMX
- für
- Unglücklicherweise
- einzigartiges
- unwahrscheinlich
- bis
- Aktualisierung
- Updates
- us
- Vancouver
- erheblich
- Ve
- Fahrzeug
- Fahrzeuge
- Anbieter
- sehr
- Sicherheitslücken
- Verwundbarkeit
- wurde
- Weg..
- we
- GUT
- ging
- Was
- Was ist
- wann
- welche
- während
- Wi-fi
- Gewinn
- kabellos
- mit
- ohne
- Arbeiten
- zusammenarbeiten
- weltweit
- schrieb
- Jahr
- Jahr
- noch
- Du
- Ihr
- Zephyrnet
- Null
- Zero Day
- Zero-Day-Schwachstellen