Vain kahdessa päivässä Tokion Pwn2Own 2024 -tapahtumassa tutkijat ovat vaarantaneet joukon sähköajoneuvojen latureita, käyttöjärjestelmiä, Teslan komponentteja ja löytäneet matkan varrella kymmeniä nollapäivän haavoittuvuuksia.
Viimevuotinen Pwn2Own Vancouverissa flirttaili autojen kanssa hyökkäysalustana, lisäten Teslat sekoitukseen kilpailujen ohella perinteisempien palvelimien, yrityssovellusten, selaimien ja vastaavien hakkerointia varten. Mutta tämän vuoden tapahtuma meni täysillä metalliin, ja tulokset ovat olleet valaisevia. Ensimmäisenä päivänä Pelkästään kilpailijat osoittivat 24 ainutlaatuista nollapäivää ja ansaitsivat heille 722,500 XNUMX dollaria voittoina. Päivä kaksi näki 20 uutta hyväksikäyttöä, ja viimeinen, kolmas päivä lupaa vielä yhdeksän lisää.
"Ajoneuvoista on tulossa yhä monimutkaisempi järjestelmäjärjestelmä", sanoo Dustin Childs, tapahtumaa isännöivän Trend Micron Zero Day Initiativen (ZDI) uhkatietoisuuden johtaja. "Tällä alalla ei ole aiemmin tehty paljon tutkimusta, ja kokemuksemme perusteella ulkoisen valvonnan puute tarkoittaa, että siellä voi olla paljon turvallisuusongelmia."
Hakkerointi Teslasiin
Viime vuoden Pwn2Own-tapahtuman otsikoihin kiinnittyvä tapahtuma oli, kun Toulousessa sijaitsevan Synacktivin tiimi onnistui rikkoa Tesla Model 3:n alle kahdessa minuutissa.
Tänä vuonna Synacktiv on palannut hyödyntäen Ubiquiti Connect- ja JuiceBox 40 Smart EV -latausasemia, ChargePoint Home Flexiä (kotikäyttöinen sähköautojen lataustyökalu) ja itsestään selviä Automotive Grade Linuxia. Sen merkittävimmät saavutukset ovat kuitenkin olleet kolmen vian hyväksikäyttöketju Teslan modeemia vastaan ja kahden vian ketju sen infotainment-järjestelmää vastaan, joista kukin ansaitsee 100,000 XNUMX dollarin käteispalkinnon.
Tapahtuman sääntöjen mukaan myyjillä on 90 päivää aikaa korjata tietoturvapuutteensa ennen kuin ne saa julkistaa. Mutta Tokiosta lähetetyssä sähköpostissa Synacktiv-keksijät antoivat Dark Readingille korkean tason yleiskatsauksen siitä, miltä hyökkäykset näyttivät:
"Hyökkäys lähetetään GSM-antennista, joka jäljittelee väärennettyä BTS:ää (rogue telecom operator). Ensimmäinen haavoittuvuus antaa pääkäyttäjälle pääsyn Teslan modeemikorttiin", he kirjoittivat. ”Toinen hyökkäys hyppää modeemista infotainment-järjestelmään. Ja ohittamalla tämän prosessin turvaominaisuudet, on mahdollista päästä käsiksi useisiin auton varusteisiin, kuten ajovaloihin, tuulilasinpyyhkimiin tai avata tavaratila ja ovet.
Synacktivin toimitusjohtaja Renaud Feil sanoo, että Teslas on kaksipuolinen kolikko. Se on auto, jolla on valtava hyökkäyspinta – Teslassa kaikki on IT:tä. Mutta heillä on myös vahva turvallisuustiimi ja he yrittävät kiinnittää paljon huomiota turvallisuuteen. Joten se on valtava tavoite, mutta se on vaikea kohde.
Modernit autot risteyksessä
"Auton hyökkäyspinta kasvaa, ja siitä tulee yhä mielenkiintoisempaa, koska valmistajat lisäävät langattomia yhteyksiä ja sovelluksia, joiden avulla voit käyttää autoa etänä Internetin kautta", Feil sanoo.
Ken Tindell, Canis Automotive Labsin teknologiajohtaja, toistaa pisteen. "On todella mielenkiintoista, kuinka niin suuri valtavirran tietojen uudelleenkäyttö autoissa tuo mukanaan kaikki valtavirran tietojenkäsittelyn turvallisuusongelmat autoihin."
"Autoilla on ollut tämä kahden maailman asia ainakin 20 vuoden ajan", hän selittää. Ensinnäkin "sinulla on valtavirran tietojenkäsittely (ei kovin hyvin tehty) infotainment-järjestelmässä. Meillä on ollut tämä autoissa jo jonkin aikaa, ja se on ollut valtavan määrän haavoittuvuuksien lähde – Bluetoothissa, Wi-Fi:ssä ja niin edelleen. Ja sitten sinulla on ohjauselektroniikka, ja nämä kaksi ovat hyvin erillisiä alueita. Tietenkin saat ongelmia, kun se infotainment sitten alkaa koskettaa CAN-väylää se puhuu jarruille, ajovaloihin ja muuhun sellaiseen."
Se on ongelma, jonka pitäisi olla tuttu OT-ammattilaisille: IT-laitteiden hallinta turvallisuuskriittisten koneiden rinnalla siten, että ne voivat toimia yhdessä ilman, että edellisen haitat leviävät jälkimmäiselle. Ja tietysti IT- ja OT-tekniikan erilaiset tuotteiden elinkaaret – autot kestävät paljon kauemmin kuin esimerkiksi kannettavat tietokoneet – mikä vain pienentää eroa entisestään.
Miltä auton turvallisuus voi näyttää
Jos haluat saada kuvan siitä, mihin ajoneuvojen kyberturvallisuus on menossa, voidaan aloittaa infotainmentista, joka on suurin ja ilmeisin hyökkäyspinta autoissa nykyään. Täällä on kehittynyt kaksi koulukuntaa.
”Yksi on: älkäämme vaivautuko, koska et koskaan pysy perässä ottamalla huomioon autojen tuotekierrot. Apple CarPlay ja Android Auto – tämä on tie eteenpäin. Joten auton valmistaja tarjoaa näytön, ja sitten puhelimesi tarjoaa infotainment-juttuja”, Tindell selittää. "Mielestäni se on hyvä lähestymistapa, koska puhelimesi on selvästi sinun vastuullasi, Apple pitää sen ajan tasalla, kaikki on korjattu ja sitten autosi tarjoaa vain näytön."
”Toinen koulukunta on antaa näiden suuryritysten ottaa autojesi keskeiset toiminnot hallintaansa. Lisensoi käyttöjärjestelmä Googlelta, ja nyt se on Google CarPlay -vastaava, mutta suoraan autoon kytkettynä, hän sanoo. Kun Googlen kaltainen yritys on vastuussa, "sillä on päivitysmekanismi, aivan kuten se päivittää heidän Pixel-puhelimiaan. Kysymys kuuluu, saatko vielä 10 vuoden kuluttua päivityksiä autoosi, kun Google kyllästyy ja yrittää sammuttaa sen?
Mutta vaikka valmistajat onnistuvatkin puristamaan osan hyökkäyspinnasta (epätodennäköisesti) tai ulkoistamaan vastuun valvonnasta kolmansille osapuolille (epätäydellisesti), Pwn2Own 2024 on osoittanut, että heillä on vielä paljon enemmän ongelmia selvitettävänä: EV latureita modeemeihin, käyttöjärjestelmiin ja muihin.
Minne teollisuuden on mentävä
Tindellille on todella tärkeää pitää valtavirran tietotekniikka erillään ohjausjärjestelmistä, jotta tukkeutumispiste jää. "Valitettavasti jotkin kuristuspisteet eivät ole tähän mennessä olleet kovin kehittyneitä, ja voit murtaa ne hyväksikäyttöketjun lopussa", hän lisää.
"Luulen, että he tietävät mitä tehdä", Synacktiv's Feil sanoo. "Se on sama prosessi kuin muullakin IT-alalla: investoi kyberturvallisuuteen, tee auditointeja, hakkeroi tavaraasi, kunnes hakkerointi on erittäin vaikeaa."
Hän uskoo, että valmistajien saaminen tähän pisteeseen saattaa vaatia ulkopuolista puuttumista. "Teollisuus on pystynyt lykkäämään sääntelyn rajoittamista", Feil sanoo. ”Heidän tarinansa on: Meillä on vaikea aika, koska kaikki pyytävät meitä vaihtamaan sähköautoihin, ja se voi vaikuttaa tulokseemme voimakkaasti. Mutta heidän on osoitettava, että he tekevät jotain kyberturvallisuuden suhteen."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 000
- 10
- 20
- 20 vuotta
- 2024
- 24
- 40
- 500
- 7
- a
- pystyy
- pääsy
- Tili
- saavutukset
- lisää
- Lisää
- vaikuttaa
- vastaan
- Kaikki
- sallia
- sallittu
- yksin
- pitkin
- rinnalla
- Myös
- an
- ja
- android
- omena
- sovellukset
- sovelletaan
- lähestymistapa
- OVAT
- ALUE
- AS
- pyytäminen
- At
- hyökkäys
- Hyökkäykset
- huomio
- tarkastukset
- auto
- Automotive
- tietoisuus
- takaisin
- perustua
- BE
- koska
- tulossa
- ollut
- ennen
- uskoo
- välillä
- Iso
- Suurimmat
- Bluetooth
- Kyllästynyt
- vaivautua
- pohja
- Tuo
- selaimet
- mutta
- CAN
- auto
- kortti
- autot
- kassa
- toimitusjohtaja
- ketju
- lataus
- latauksen
- päällikkö
- Chief Technology Officer
- selvästi
- Kolikko
- tulee
- Yritykset
- yritys
- Kilpailut
- monimutkainen
- osat
- Vaarantunut
- tietojenkäsittely
- kytkeä
- ottaen huomioon
- ohjaus
- arvoitus
- voisi
- Kurssi
- crack
- tietoverkkojen
- jaksoa
- tumma
- Pimeää luettavaa
- Päivämäärä
- päivä
- päivää
- osoittivat
- kehittämällä
- vaikea
- suoraan
- erilainen
- do
- tekee
- verkkotunnuksia
- tehty
- ovet
- alas
- kymmeniä
- kukin
- ansaita
- sähköinen
- sähköautot
- sähköauto
- Elektroniikka
- loppu
- yritys
- laitteet
- Vastaava
- EV
- Jopa
- tapahtuma
- jokainen
- kaikki
- experience
- selittää
- Käyttää hyväkseen
- hyödyntää
- ulkoinen
- väärennös
- tuttu
- paljon
- Ominaisuudet
- lopullinen
- Etunimi
- puutteita
- varten
- Entinen
- Eteenpäin
- alkaen
- koko
- tehtävät
- kuilu
- antoi
- saada
- saada
- antaa
- menee
- hyvä
- sai
- luokka
- Ryhmä
- Kasvava
- hakata
- hakata
- HAD
- Kova
- Olla
- satama
- ottaa
- he
- pää
- raskaasti
- tätä
- korkean tason
- Etusivu
- hotellit
- Miten
- HTTPS
- valtava
- i
- if
- kuva
- tärkeä
- in
- yhä useammin
- teollisuus
- aloite
- mielenkiintoinen
- Internet
- interventio
- tulee
- Investoida
- kysymykset
- IT
- IT-teollisuus
- SEN
- jpg
- hyppyjä
- vain
- Pitää
- pitää
- avain
- Tietää
- Labs
- Lack
- kannettavat tietokoneet
- Sukunimi
- Viime vuonna
- kestävä
- vähiten
- vähemmän
- antaa
- Lisenssi
- elämä
- pitää
- linja
- linux
- ll
- kauemmin
- katso
- Katsoin
- Erä
- koneet
- Valtavirta
- tehdä
- hoitaa
- onnistui
- toimitusjohtaja
- Valmistaja
- Valmistajat
- Saattaa..
- välineet
- mekanismi
- metalli-
- mikro
- ehkä
- sekoittaa
- malli
- lisää
- eniten
- paljon
- moninkertainen
- täytyy
- KERTOMUKSEN
- ei ikinä
- Uusi
- yhdeksän
- merkittävä
- nyt
- numero
- Ilmeinen
- of
- pois
- upseeri
- on
- kerran
- ONE
- vain
- avata
- toiminta
- käyttöjärjestelmän
- käyttöjärjestelmät
- operaattori
- or
- Muut
- meidän
- ulkopuolella
- ulkoistaa
- yli
- valvoa
- yleiskatsaus
- osa
- osapuolet
- Ohi
- Maksaa
- puhelin
- puhelimet
- pixel
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- mahdollinen
- palkinto
- ongelmia
- prosessi
- Tuotteet
- Promises
- tarjoaa
- tarjoamalla
- julkisesti
- Työnnä
- työnnä takaisin
- Pwn2Own
- kysymys
- RE
- Lukeminen
- ihan oikeesti
- Asetus
- kaukaista
- edellyttää
- tutkimus
- Tutkijat
- vastuu
- REST
- rajoittaa
- tulokset
- uudelleenkäyttö
- juuri
- säännöt
- s
- sama
- näki
- sanoa
- sanoo
- Koulu
- Koulut
- Näytön
- valvonnan
- Toinen
- sekuntia
- turvallisuus
- lähetetty
- erillinen
- servers
- palvelee
- shouldnt
- näyttää
- kiinni
- fiksu
- So
- niin kaukana
- jonkin verran
- jotain
- lähde
- leviäminen
- Puristaa
- Alkaa
- Asemat
- Yhä
- vahva
- niin
- pinta
- Vaihtaa
- järjestelmä
- järjestelmät
- ottaa
- puhuminen
- Kohde
- joukkue-
- teknologia
- Elektroniikka
- Telecom
- Tesla
- tesloina
- kuin
- että
- -
- Lähde
- heidän
- Niitä
- sitten
- Siellä.
- Nämä
- ne
- asia
- ajatella
- kolmas
- kolmannet osapuolet
- tätä
- Tämä vuosi
- vaikka?
- ajatus
- uhkaus
- aika
- että
- tänään
- yhdessä
- Tokio
- työkalu
- kosketa
- kova
- perinteinen
- Trend
- yrittää
- kaksi
- varten
- valitettavasti
- unique
- epätodennäköinen
- asti
- Päivitykset
- Päivitykset
- us
- vancouver
- valtavasti
- Ve
- ajoneuvo
- Ajoneuvot
- myyjät
- hyvin
- haavoittuvuuksia
- alttius
- oli
- Tapa..
- we
- HYVIN
- meni
- Mitä
- Mikä on
- kun
- joka
- vaikka
- Wi-fi
- voitto
- langaton
- with
- ilman
- Referenssit
- työskennellä yhdessä
- maailman
- kirjoitti
- vuosi
- vuotta
- vielä
- Voit
- Sinun
- zephyrnet
- nolla-
- Zero Day
- nolla päivän haavoittuvuudet