تنها در دو روز در Pwn2Own 2024 در توکیو، محققان مجموعهای از شارژرهای خودروی الکتریکی، سیستمهای عامل، قطعات تسلا را به خطر انداختند و دهها آسیبپذیری روز صفر را در طول مسیر کشف کردند.
Pwn2Own سال گذشته در ونکوور با اتومبیلها بهعنوان یک سطح حمله معاشقه میکرد و تسلاس را در کنار رقابتهایی برای هک کردن سرورهای سنتی، برنامههای کاربردی سازمانی، مرورگرها و موارد مشابه به این ترکیب اضافه کرد. اما رویداد امسال به طور کامل به سمت فلز رفت و نتایج روشنکننده بوده است. در روز اول به تنهایی، شرکت کنندگان 24 روز صفر منحصر به فرد را به نمایش گذاشتند و 722,500 دلار برنده شدند. روز دو شاهد 20 اکسپلویت جدید بودیم و آخرین روز سوم نوید XNUMX مورد دیگر را می دهد.
داستین چایلدز، رئیس آگاهی از تهدیدات Trend Micro's Zero Day Initiative (ZDI)، گروهی که این رویداد را میزبانی می کند، می گوید: «وسایل نقلیه به طور فزاینده ای در حال تبدیل شدن به یک سیستم پیچیده از سیستم ها هستند. تحقیقات زیادی در این زمینه در گذشته انجام نشده است و بر اساس تجربه ما، عدم بررسی دقیق خارجی به این معنی است که ممکن است مسائل امنیتی زیادی وجود داشته باشد.
هک کردن تسلاس
رویداد جالب توجه در Pwn2Own سال گذشته زمانی بود که تیمی از Synacktiv مستقر در تولوز موفق شد در کمتر از دو دقیقه یک تسلا مدل 3 را نقض کنید.
امسال، Synacktiv با بهرهبرداری از ایستگاههای شارژ Ubiquiti Connect و JuiceBox 40 Smart EV، ChargePoint Home Flex (ابزار شارژ خودروهای برقی خانگی) و لینوکس خود توضیحی Automotive Grade بازگشته است. با این حال، برجسته ترین دستاوردهای آن، یک زنجیره بهره برداری سه باگ در برابر مودم تسلا و یک زنجیره دو باگ در برابر سیستم سرگرمی اطلاعاتی آن بوده است که هر کدام یک جایزه نقدی 100,000 دلاری به دست آورده اند.
طبق قوانین این رویداد، فروشندگان 90 روز فرصت دارند تا نقایص امنیتی خود را قبل از اینکه مجاز به افشای عمومی شوند، برطرف کنند. اما در ایمیلی از توکیو، کرکرهای Synacktiv به Dark Reading یک نمای کلی در سطح بالایی از ظاهر حملات ارائه کردند:
"این حمله از طریق یک آنتن GSM که از یک BTS جعلی (اپراتور مخابراتی سرکش) تقلید می کند، ارسال می شود. اولین آسیبپذیری دسترسی ریشه به کارت مودم تسلا را میدهد.» حمله دوم از مودم به سیستم اطلاعات سرگرمی میپرد. و با دور زدن ویژگیهای امنیتی در این فرآیند، دسترسی به تجهیزات متعدد روی خودرو مانند چراغهای جلو، برفپاککنها یا باز کردن صندوق عقب و درها امکانپذیر است.
رنو فیل، مدیرعامل Synacktiv میگوید: «این یک سکه دو طرفه است. این خودرویی است که سطح حمله بزرگی دارد - همه چیز در تسلا فناوری اطلاعات است. اما آنها یک تیم امنیتی قوی نیز دارند و سعی می کنند به امنیت توجه زیادی داشته باشند. بنابراین هدف بزرگی است، اما هدف دشواری است.»
ماشین های مدرن در یک چهارراه
Feil میگوید: «سطح حمله خودرو در حال رشد است و بیشتر و جالبتر میشود، زیرا سازندگان اتصالات بیسیم و برنامههایی را اضافه میکنند که به شما امکان میدهند از راه دور از طریق اینترنت به خودرو دسترسی داشته باشید.
کن تیندل، مدیر ارشد فناوری آزمایشگاههای خودروی Canis، این نکته را تایید میکند. آنچه واقعاً جالب است این است که چگونه استفاده مجدد از محاسبات اصلی در خودروها، تمام مشکلات امنیتی رایانش اصلی را در خودروها به همراه دارد.
او توضیح می دهد: «خودروها حداقل 20 سال است که این دو جهان را دارند. اول، «شما محاسبات اصلی را در سیستم اطلاعات سرگرمی دارید (خیلی خوب انجام نمی دهید). ما مدتی است که این مورد را در خودروها داشتهایم، و منشأ تعداد زیادی آسیبپذیری در بلوتوث، وایفای و غیره بوده است. و سپس شما الکترونیک کنترل را دارید، و این دو حوزه بسیار مجزا هستند. مطمئناً، در آن زمان سرگرمی اطلاعاتی با مشکل مواجه می شوید شروع به لمس اتوبوس CAN می کند این صحبت با ترمزها، چراغهای جلو و مواردی از این دست است.»
این معمایی است که باید برای پزشکان OT آشنا باشد: مدیریت تجهیزات فناوری اطلاعات در کنار ماشینهای حیاتی ایمنی، به گونهای که این دو بتوانند با هم کار کنند بدون اینکه مزاحمتهای اولی را به دومی منتقل کنند. و البته، چرخههای عمر متفاوت محصول بین فناوری اطلاعات و فناوری OT - اتومبیلهایی که به عنوان مثال، لپتاپها دوام بیشتری دارند - که فقط باعث میشود این شکاف حتی کمتر کارآمد باشد.
امنیت خودرو چگونه ممکن است به نظر برسد
برای تصویری از اینکه امنیت سایبری وسایل نقلیه به کجا می رود، می توان از سرگرمی اطلاعاتی شروع کرد - بزرگترین و واضح ترین سطح حمله در خودروهای امروزی. در اینجا، دو مکتب فکری در حال توسعه بوده است.
یکی این است: بیایید زحمت نکشیم، زیرا هرگز به چرخه محصول در خودروها توجه نخواهید کرد. Apple CarPlay و Android Auto - این راه رو به جلو است. بنابراین سازنده خودرو یک صفحه نمایش ارائه می دهد، و سپس تلفن شما چیزهای سرگرمی اطلاعاتی را ارائه می دهد،” Tindell توضیح می دهد. من فکر میکنم این رویکرد خوبی است، زیرا تلفن شما به وضوح مسئولیت شماست، اپل آن را بهروز نگه میدارد، همهچیز وصله شده است، و سپس ماشین شما فقط یک صفحه نمایش ارائه میکند.»
مکتب فکری دیگر این است که اجازه دهید این شرکتهای بزرگ کنترل عملکردهای کلیدی خودروهای شما را در دست بگیرند. مجوز یک سیستم عامل از گوگل، و اکنون معادل Google CarPlay است، اما مستقیماً به ماشین متصل می شود. با مدیریت شرکتی مانند گوگل، «مکانیزم بهروزرسانی برای آن وجود دارد، درست مثل اینکه گوشیهای پیکسل خود را بهروزرسانی میکند. سوال این است که در 10 سال آینده، آیا زمانی که گوگل خسته شد و سعی کرد آن را خاموش کند، همچنان بهروزرسانیهایی برای خودروی خود دریافت خواهید کرد؟
اما حتی اگر سازندگان موفق شوند یک قسمت از سطح حمله را فشرده کنند (بعید است) یا مسئولیت نظارت بر آن را به اشخاص ثالث (به طور ناقص) برون سپاری کنند، Pwn2Own 2024 نشان داده است که هنوز مشکلات بسیار بیشتری برای پاسخگویی دارند: EV. شارژر مودم ها، سیستم عامل ها و موارد دیگر.
جایی که صنعت باید برود
برای Tindell، آنچه واقعاً مهم است این است که فایروال محاسباتی اصلی را از سیستمهای کنترل دور نگه داریم، به طوری که یک نقطه خفه وجود داشته باشد. او می افزاید: «متاسفانه، برخی از نقاط خفه تا کنون به خوبی توسعه نیافته اند، و شما می توانید آنها را در انتهای زنجیره ای از اکسپلویت ها شکست دهید.
Feil از Synacktiv می گوید: "من فکر می کنم آنها می دانند که چه کاری انجام دهند." این همان فرآیندی است که برای بقیه صنعت فناوری اطلاعات اعمال میشود: سرمایهگذاری در امنیت سایبری، انجام برخی ممیزیها، هک کردن موارد خود تا زمانی که هک کردن آنها بسیار سخت شود.»
او معتقد است که رسیدن تولیدکنندگان به آن نقطه ممکن است نیاز به مداخله خارجی داشته باشد. فیل میگوید: «این صنعت توانسته است مقررات را محدود کند. روایت آنها این است: ما روزهای سختی را سپری میکنیم، زیرا همه از ما میخواهند که به خودروهای برقی روی بیاوریم و این ممکن است به شدت روی نتیجه ما تأثیر بگذارد. اما آنها باید نشان دهند که در مورد امنیت سایبری کاری انجام می دهند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 000
- 10
- 20
- سال 20
- 2024
- 24
- 40
- 500
- 7
- a
- قادر
- دسترسی
- حساب
- دستاوردهای
- اضافه کردن
- می افزاید:
- اثر
- در برابر
- معرفی
- اجازه دادن
- مجاز
- تنها
- در امتداد
- در کنار
- همچنین
- an
- و
- اندروید
- اپل
- برنامه های کاربردی
- اعمال میشود
- روش
- هستند
- محدوده
- AS
- خواهان
- At
- حمله
- حمله
- توجه
- ممیزی
- خودکار
- خودرو
- اطلاع
- به عقب
- مستقر
- BE
- زیرا
- تبدیل شدن به
- بوده
- قبل از
- معتقد است که
- میان
- بزرگ
- بزرگترین
- بلوتوث
- بی حوصله
- زحمت
- پایین
- به ارمغان می آورد
- مرورگرهای
- اما
- CAN
- ماشین
- کارت
- اتومبیل
- پول دادن و سكس - پول دادن و كس كردن
- مدیر عامل شرکت
- زنجیر
- بار
- شارژ
- رئیس
- مدیر ارشد فناوری
- به وضوح
- سکه
- می آید
- شرکت
- شرکت
- مسابقات
- پیچیده
- اجزاء
- در معرض خطر
- محاسبه
- اتصال
- با توجه به
- کنترل
- معما
- میتوانست
- دوره
- ترک
- امنیت سایبری
- چرخه
- تاریک
- تاریک خواندن
- تاریخ
- روز
- روز
- نشان
- در حال توسعه
- مشکل
- مستقیما
- متفاوت
- do
- عمل
- حوزه
- انجام شده
- درب
- پایین
- ده ها
- هر
- سود
- برقی
- اتومبیل های برقی
- خودرو الکتریکی
- الکترونیک
- پست الکترونیک
- پایان
- سرمایه گذاری
- تجهیزات
- معادل
- EV
- حتی
- واقعه
- هر کس
- همه چیز
- تجربه
- توضیح می دهد
- بهره برداری
- سوء استفاده
- خارجی
- جعلی
- آشنا
- بسیار
- امکانات
- نهایی
- نام خانوادگی
- معایب
- برای
- سابق
- به جلو
- از جانب
- کامل
- توابع
- شکاف
- به
- دریافت کنید
- گرفتن
- می دهد
- رفتن
- خوب
- گوگل
- کردم
- درجه
- گروه
- در حال رشد
- هک
- هک
- بود
- سخت
- آیا
- پناهگاه
- داشتن
- he
- سر
- به شدت
- اینجا کلیک نمایید
- در سطح بالا
- صفحه اصلی
- میزبانی وب
- چگونه
- HTTPS
- بزرگ
- i
- if
- تصویر
- مهم
- in
- به طور فزاینده
- صنعت
- ابتکار عمل
- جالب
- اینترنت
- مداخله
- به
- سرمایه گذاری
- مسائل
- IT
- صنعت فناوری اطلاعات
- ITS
- JPG
- جهش
- تنها
- نگاه داشتن
- نگه می دارد
- کلید
- دانستن
- آزمایشگاه
- عدم
- لپ تاپ
- نام
- پارسال
- ماندنی
- کمترین
- کمتر
- اجازه
- مجوز
- زندگی
- پسندیدن
- لاین
- لینوکس
- ll
- دیگر
- نگاه کنيد
- نگاه
- خیلی
- دستگاه
- مسیر اصلی
- ساخت
- مدیریت
- اداره می شود
- مدیریت
- سازنده
- تولید کنندگان
- ممکن است..
- به معنی
- مکانیزم
- فلز
- میکرو
- قدرت
- مخلوط
- مدل
- بیش
- اکثر
- بسیار
- چندگانه
- باید
- روایت
- هرگز
- جدید
- نه نفر
- قابل توجه
- اکنون
- عدد
- واضح
- of
- خاموش
- افسر
- on
- یک بار
- ONE
- فقط
- باز کن
- عملیاتی
- سیستم عامل
- سیستم های عامل
- اپراتور
- or
- دیگر
- ما
- خارج از
- برون سپاری
- روی
- نظارت
- مروری
- بخش
- احزاب
- گذشته
- پرداخت
- تلفن
- گوشی های
- پیکسل
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- ممکن
- جایزه
- مشکلات
- روند
- محصول
- وعده
- فراهم می کند
- ارائه
- عمومی
- فشار
- فشار عقب
- Pwn2Own
- سوال
- RE
- مطالعه
- واقعا
- تنظیم
- از راه دور
- نیاز
- تحقیق
- محققان
- مسئوليت
- REST
- محدود کردن
- نتایج
- استفاده مجدد
- ریشه
- قوانین
- s
- همان
- دید
- گفتن
- می گوید:
- مدرسه
- دانشکده ها
- پرده
- بررسی موشکافانه
- دوم
- ثانیه
- تیم امنیت لاتاری
- فرستاده
- جداگانه
- سرور
- خدمت
- باید
- نشان
- بسته
- هوشمند
- So
- تا حالا
- برخی از
- چیزی
- منبع
- گسترش
- فشار دادن
- شروع
- ایستگاه ها
- هنوز
- قوی
- چنین
- سطح
- گزینه
- سیستم
- سیستم های
- گرفتن
- سخنگو
- هدف
- تیم
- فن آوری
- پیشرفته
- مخابراتی
- تسلا
- تسلا
- نسبت به
- که
- La
- منبع
- شان
- آنها
- سپس
- آنجا.
- اینها
- آنها
- چیز
- فکر می کنم
- سوم
- اشخاص ثالث
- این
- در این سال
- اگر چه؟
- فکر
- تهدید
- زمان
- به
- امروز
- با هم
- توکیو
- ابزار
- لمس
- سخت
- سنتی
- روند
- امتحان
- دو
- زیر
- متاسفانه
- منحصر به فرد
- بعید
- تا
- بروزرسانی
- به روز رسانی
- us
- ونکوور
- به شدت
- Ve
- وسیله نقلیه
- وسایل نقلیه
- فروشندگان
- بسیار
- آسیب پذیری ها
- آسیب پذیری
- بود
- مسیر..
- we
- خوب
- رفت
- چی
- چه شده است
- چه زمانی
- که
- در حین
- وای فای
- برنده
- بي سيم
- با
- بدون
- مهاجرت کاری
- همکاری
- جهان
- نوشت
- سال
- سال
- هنوز
- شما
- شما
- زفیرنت
- صفر
- روز صفر
- آسیب پذیری های روز صفر