A tokiói Pwn2Own 2024 rendezvényen mindössze két nap alatt a kutatók elektromos járművek töltőinek, operációs rendszereinek, Tesla-alkatrészeinek seregét veszélyeztették, és több tucat nulladik napi sebezhetőséget tártak fel.
A tavalyi vancouveri Pwn2Own kacérkodott az autókkal, mint támadási felülettel, és hozzáadta a Teslákat a hagyományos szerverek, vállalati alkalmazások, böngészők és hasonlók feltörésére irányuló versenyek mellé. De az idei esemény teljes mértékben a fémre ment, és az eredmények felvilágosítóak. Az első nap egyedül a versenyzők 24 egyedi nulladik napot mutattak be, és 722,500 XNUMX dollárt nyertek. Második nap 20 új exploitot láttam, és az utolsó, harmadik nap még kilencet ígér.
„A járművek egyre inkább összetett rendszerrendszerré válnak” – mondja Dustin Childs, a Trend Micro Zero Day Initiative (ZDI), az eseménynek otthont adó csoport fenyegetés-tudatosságért felelős vezetője. "A múltban nem sok kutatás folyt ezen a területen, és tapasztalataink alapján a külső ellenőrzés hiánya azt jelenti, hogy sok biztonsági probléma merülhet fel."
Hackelés a Teslákba
A tavalyi Pwn2Own szalagcíme az volt, amikor a toulouse-i székhelyű Synacktiv csapatának sikerült két percen belül megsérti a Tesla Model 3-at.
Idén a Synacktiv visszatért az Ubiquiti Connect és a JuiceBox 40 Smart EV töltőállomások, a ChargePoint Home Flex (egy otthoni elektromos töltőeszköz) és a magától értetődő Automotive Grade Linux előnyeivel. Legfigyelemreméltóbb eredménye azonban a Tesla modemével szembeni három hibakizsákmányoló lánc, valamint az infotainment rendszerével szembeni két hibaüzenetből álló lánc volt, amelyek mindegyike 100,000 XNUMX dolláros pénzdíjat kapott.
Az esemény szabályai szerint a szállítóknak 90 napjuk van arra, hogy kijavítsák biztonsági hibáikat, mielőtt nyilvánosságra hozzák azokat. De egy Tokióból küldött e-mailben a Synacktiv crackerek magas szintű áttekintést adtak a Dark Readingnek a támadások kinézetéről:
„A támadást egy hamis BTS-t (rogue telecom operator) emuláló GSM antenna küldte. Az első biztonsági rés root hozzáférést biztosít a Tesla modemkártyájához” – írták. „A második támadás a modemről az infotainment rendszerre ugrik. És a folyamat biztonsági funkcióinak megkerülésével az autó több berendezéséhez is hozzá lehet férni, mint például a fényszórókhoz, az ablaktörlőkhöz, vagy kinyitni a csomagtartót és az ajtókat.”
Renaud Feil, a Synacktiv vezérigazgatója szerint a Teslas esetében „ez egy kétoldalas érme. Ez egy hatalmas támadási felülettel rendelkező autó – a Teslában minden IT. De van egy erős biztonsági csapatuk is, és igyekeznek nagy figyelmet fordítani a biztonságra. Tehát ez egy hatalmas, de nehéz célpont.”
Modern autók válaszútnál
„Az autó támadási felülete növekszik, és egyre érdekesebbé válik, mert a gyártók vezeték nélküli kapcsolatokat és olyan alkalmazásokat adnak hozzá, amelyek lehetővé teszik az autó távoli elérését az interneten keresztül” – mondja Feil.
Ken Tindell, a Canis Automotive Labs technológiai igazgatója másodszorra veszi a lényeget. „Ami igazán érdekes, az az, hogy a mainstream számítástechnika autókban való oly sok újrafelhasználása hogyan hozza magával az általános számítástechnika összes biztonsági problémáját az autókban.”
„Az autókban már legalább 20 éve megvan ez a két világ” – magyarázza. Először is, „az infotainment rendszerben van a mainstream számítástechnika (nem túl jól sikerült). Ez már egy ideje megtalálható az autókban, és rengeteg sebezhetőség forrása volt – Bluetooth, Wi-Fi és így tovább. És akkor megvan a vezérlő elektronika, és a kettő nagyon külön terület. Természetesen problémákat okoz, ha az infotainment akkor érinteni kezdi a CAN buszt ez beszél a fékkel, a fényszórókkal és hasonlókkal.”
Ez egy olyan rejtély, amelyet az OT-gyakorlóknak ismerniük kell: az IT-berendezések kezelése a biztonság szempontjából kritikus gépek mellett oly módon, hogy a kettő együtt tudjon működni anélkül, hogy az előbbi kellemetlenségeit átterjedne az utóbbira. És természetesen az IT és az OT technológia közötti eltérő termékéletciklusok – az autók sokkal hosszabb élettartamúak, mint például a laptopok –, ami csak arra szolgál, hogy a különbséget még kisebb legyen.
Hogyan nézhet ki az autóbiztonság
Ha képet szeretne kapni arról, hogy merre halad a járművek kiberbiztonsága, az infotainmentnél kezdhetjük – ez a legnagyobb, legnyilvánvalóbb támadási felület manapság az autókban. Itt két gondolati iskola fejlődött ki.
„Az egyik: ne foglalkozzunk vele, mert az autók termékciklusait figyelembe véve soha nem fogja tudni lépést tartani. Apple CarPlay és Android Auto – ez a továbblépés. Tehát az autógyártó biztosít egy képernyőt, majd a telefonja az infotainment dolgokat” – magyarázza Tindell. „Szerintem ez egy jó megközelítés, mert egyértelműen az Ön felelőssége a telefonja, az Apple naprakészen tartja, az egészet kijavítják, majd az autója már csak képernyőt biztosít.”
„A másik irányzat az, hogy hagyjuk, hogy ezek a nagy cégek átvegyék az irányítást az autók kulcsfontosságú funkciói felett. Engedélyezze az operációs rendszert a Google-tól, és ez most a Google CarPlay megfelelője, de közvetlenül az autóba van bekötve” – mondja. Egy olyan vállalatnál, mint a Google felelős, „van hozzá egy frissítési mechanizmus, akárcsak a Pixel telefonjaik frissítéséhez. A kérdés az, hogy 10 év múlva is fog-e frissítéseket kapni az autójához, ha a Google megunja, és megpróbálja leállítani?
De még ha a gyártóknak sikerül is megszorítaniuk a támadási felület egy részét (nem valószínű), vagy a felügyeleti felelősséget harmadik felekre bízni (tökéletesen), a Pwn2Own 2024 bebizonyította, hogy még mindig sokkal több problémával kell számolniuk: EV töltők modemekhez, operációs rendszerekhez és egyebekhez.
Ahová az iparnak mennie kell
Tindell számára az az igazán fontos, hogy a mainstream számítástechnikai tűzfalat távol tartsa a vezérlőrendszerektől, hogy legyen fulladási pont. „Sajnos egyes fojtópontok eddig nem voltak túl jól kidolgozottak, és feltörhetőek egy láncolat végén” – teszi hozzá.
„Azt hiszem, tudják, mit kell tenni” – mondja Synacktiv's Feil. „Ugyanaz a folyamat, mint az IT-ipar többi részén: fektessen be a kiberbiztonságba, végezzen auditokat, hackelje fel a dolgait, amíg nagyon nehéz lesz feltörni.”
Úgy véli, hogy a gyártók eljuttatása idáig némi külső beavatkozást igényelhet. „Az iparág képes volt visszaszorítani a szabályozás korlátozását” – mondja Feil. „A narratívájuk a következő: Nehéz időket élünk, mert mindenki azt kéri tőlünk, hogy váltsunk elektromos autókra, és ez erősen befolyásolhatja az eredményünket. De meg kell mutatniuk, hogy tesznek valamit a kiberbiztonság terén.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :van
- :is
- :nem
- :ahol
- $ UP
- 000
- 10
- 20
- 20 év
- 2024
- 24
- 40
- 500
- 7
- a
- Képes
- hozzáférés
- Fiók
- eredmények
- hozzáadásával
- Hozzáteszi
- érint
- ellen
- Minden termék
- lehetővé
- megengedett
- kizárólag
- mentén
- mellett
- Is
- an
- és a
- android
- Apple
- alkalmazások
- alkalmazandó
- megközelítés
- VANNAK
- TERÜLET
- AS
- kér
- At
- támadás
- Támadások
- figyelem
- ellenőrzések
- auto
- autóipari
- tudatosság
- vissza
- alapján
- BE
- mert
- egyre
- óta
- előtt
- úgy gondolja,
- között
- Nagy
- Legnagyobb
- Bluetooth
- Unott
- zavar
- Alsó
- Bring
- böngészők
- de
- TUD
- autó
- kártya
- autók
- Készpénz
- vezérigazgató
- lánc
- díj
- töltés
- fő
- Főmérnöke
- világosan
- Érme
- jön
- Companies
- vállalat
- Versenyek
- bonyolult
- alkatrészek
- Veszélyeztetett
- számítástechnika
- Csatlakozás
- figyelembe véve
- ellenőrzés
- találós kérdés
- tudott
- Tanfolyam
- repedés
- Kiberbiztonság
- ciklusok
- sötét
- Sötét olvasmány
- találka
- nap
- Nap
- igazolták
- fejlesztése
- nehéz
- közvetlenül
- eltérő
- do
- Ennek
- domainek
- csinált
- ajtók
- le-
- tucat
- minden
- bevételt hozó
- elektromos
- elektromos autók
- elektromos jármű
- Elektronika
- végén
- Vállalkozás
- felszerelés
- Egyenértékű
- EV
- Még
- esemény
- mindenki
- minden
- tapasztalat
- Elmagyarázza
- Exploit
- hasznosítja
- külső
- hamisítvány
- ismerős
- messze
- Jellemzők
- utolsó
- vezetéknév
- hibái
- A
- Korábbi
- Előre
- ból ből
- Tele
- funkciók
- rés
- adott
- kap
- szerzés
- ad
- megy
- jó
- kapott
- fokozat
- Csoport
- Növekvő
- csapkod
- hack
- kellett
- Kemény
- Legyen
- kikötő
- tekintettel
- he
- fej
- súlyosan
- itt
- magas szinten
- Kezdőlap
- tárhely
- Hogyan
- HTTPS
- hatalmas
- i
- if
- kép
- fontos
- in
- egyre inkább
- ipar
- Kezdeményezés
- érdekes
- Internet
- beavatkozás
- bele
- befektet
- kérdések
- IT
- IT ipar
- ITS
- jpg
- ugrik
- éppen
- Tart
- tartja
- Kulcs
- Ismer
- Labs
- hiány
- laptopok
- keresztnév
- Tavaly
- tartós
- legkevésbé
- kevesebb
- hadd
- Engedély
- élet
- mint
- vonal
- linux
- ll
- hosszabb
- néz
- nézett
- Sok
- gépezet
- főáram
- csinál
- kezelése
- sikerült
- kezelése
- Gyártó
- Gyártók
- Lehet..
- eszközök
- mechanizmus
- fém
- mikro
- esetleg
- keverje
- modell
- több
- a legtöbb
- sok
- többszörös
- kell
- ELBESZÉLÉS
- soha
- Új
- kilenc
- figyelemre méltó
- Most
- szám
- Nyilvánvaló
- of
- kedvezmény
- Tiszt
- on
- egyszer
- ONE
- csak
- nyitva
- üzemeltetési
- operációs rendszer
- operációs rendszer
- operátor
- or
- Más
- mi
- kívül
- kiszervezni
- felett
- felügyeletét
- áttekintés
- rész
- fél
- múlt
- Fizet
- telefon
- telefonok
- pixel
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- lehetséges
- díj
- problémák
- folyamat
- Termékek
- ígér
- biztosít
- amely
- nyilvánosan
- Nyomja
- visszavet
- Pwn2Own
- kérdés
- RE
- Olvasás
- tényleg
- Szabályozás
- távolról
- szükség
- kutatás
- kutatók
- felelősség
- REST
- korlátoz
- Eredmények
- újra
- gyökér
- szabályok
- s
- azonos
- látta
- azt mondják
- azt mondja,
- Iskola
- Iskolák
- Képernyő
- ellenőrzéssel
- Második
- másodperc
- biztonság
- küldött
- különálló
- Szerverek
- szolgálja
- kellene
- előadás
- becsuk
- okos
- So
- eddig
- néhány
- valami
- forrás
- terjedés
- Présel
- kezdet
- Állomások
- Még mindig
- erős
- ilyen
- felületi
- kapcsoló
- rendszer
- Systems
- Vesz
- beszéd
- cél
- csapat
- tech
- Technológia
- távközlési
- Tesla
- tesla
- mint
- hogy
- A
- The Source
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- dolog
- Szerintem
- Harmadik
- harmadik felek
- ezt
- idén
- bár?
- gondoltam
- fenyegetés
- idő
- nak nek
- Ma
- együtt
- tokyo
- szerszám
- érintse
- kemény
- hagyományos
- tendencia
- megpróbál
- kettő
- alatt
- sajnálatos módon
- egyedi
- valószínűtlen
- -ig
- Frissítések
- Frissítés
- us
- Vancouver
- mérhetetlenül
- Ve
- jármű
- Járművek
- gyártók
- nagyon
- sérülékenységek
- sebezhetőség
- volt
- Út..
- we
- JÓL
- ment
- Mit
- Mi
- amikor
- ami
- míg
- Wi-fi
- nyeremény
- drótnélküli
- val vel
- nélkül
- Munka
- együtt dolgozni
- világ
- írt
- év
- év
- még
- te
- A te
- zephyrnet
- nulla
- Nulla nap
- nulladik napi sebezhetőség