東京で開催された Pwn2Own 2024 のわずか XNUMX 日間で、研究者たちは一連の電気自動車の充電器、オペレーティング システム、Tesla コンポーネントを侵害し、その過程で数十のゼロデイ脆弱性を発見しました。
昨年バンクーバーで開催された Pwn2Own では、車が攻撃対象となり、従来のサーバー、エンタープライズ アプリケーション、ブラウザなどをハッキングする競争に Teslas が加わりました。しかし、今年のイベントは全力で取り組み、啓発的な結果が得られました。 初日に 出場者だけでも 24 のユニークなゼロデイをデモンストレーションし、722,500 ドルの賞金を獲得しました。 二日目 20 の新しいエクスプロイトが確認され、最後の XNUMX 日目にはさらに XNUMX つのエクスプロイトが約束されています。
イベントを主催するトレンドマイクロのゼロデイ・イニシアチブ(ZDI)の脅威認識責任者ダスティン・チャイルズ氏は、「自動車はますます複雑なシステムのシステムになりつつある」と語る。 「これまでこの分野に関する研究はあまり行われていませんでした。私たちの経験に基づくと、外部の監視が不足しているということは、多くのセキュリティ上の問題が発生する可能性があることを意味します。」
テスラへのハッキング
昨年の Pwn2Own で注目を集めたイベントは、トゥールーズを拠点とする Synacktiv のチームが、 テスラ モデル 3 を XNUMX 分以内に突破する.
今年、Synacktiv は、Ubiquiti Connect および JuiceBox 40 スマート EV 充電ステーション、ChargePoint Home Flex (家庭用 EV 充電ツール)、および説明不要の Automotive Grade Linux を活用して戻ってきました。しかし、その最も注目に値する成果は、テスラのモデムに対する 100,000 つのバグ悪用チェーンと、インフォテインメント システムに対する XNUMX つのバグ チェーンであり、それぞれ XNUMX 万ドルの賞金を獲得しました。
イベントの規則によれば、ベンダーはセキュリティ上の欠陥が一般に公開される前に、90日間修正する必要がある。しかし、東京からのメールの中で、Synacktiv クラッカーは Dark Reading に攻撃がどのようなものかについての概要を提供しました。
「この攻撃は、偽の BTS (不正な通信事業者) をエミュレートする GSM アンテナから送信されます。最初の脆弱性により、テスラのモデムカードへの root アクセスが可能になります」と彼らは書いています。 「2 回目の攻撃はモデムからインフォテインメント システムに飛びます。そして、このプロセスのセキュリティ機能をバイパスすることで、ヘッドライトやワイパーなどの車の複数の機器にアクセスしたり、トランクやドアを開けたりすることが可能になります。」
Synacktiv CEO の Renaud Feil 氏は、Teslas について次のように述べています。これは巨大な攻撃対象領域を持つ車であり、Tesla ではすべてが IT です。しかし、彼らは強力なセキュリティ チームも擁しており、セキュリティに細心の注意を払うよう努めています。したがって、これは大きな目標ですが、難しい目標でもあります。」
岐路に立つ現代の自動車
「自動車の攻撃面は拡大しており、メーカーはワイヤレス接続や、インターネット経由で自動車にリモートからアクセスできるアプリケーションを追加しているため、ますます興味深いものになっています」とフェイル氏は言います。
Canis Automotive Labs の最高技術責任者、Ken Tindell 氏もこの点に賛成です。 「本当に興味深いのは、自動車で主流のコンピューティングをこれほど再利用することで、主流のコンピューティングのあらゆるセキュリティ問題が自動車にどのように持ち込まれるかということです。」
「自動車には少なくとも 20 年間、この XNUMX つの世界があるのです」と彼は説明します。まず、「インフォテインメント システムには、主流のコンピューティング (あまりうまく機能していません) が搭載されています。これはしばらくの間自動車に搭載されており、Bluetooth や Wi-Fi などで膨大な数の脆弱性の原因となってきました。そして、制御電子機器がありますが、この XNUMX つはまったく別の領域です。もちろん、インフォテイメントを使用すると問題が発生します CAN バスへの接触を開始します それはブレーキやヘッドライトなどに話しかけているのです。」
これは、OT 実務者にとってよく知られている難問です。IT 機器を安全性が重要な機械と並行して管理し、前者の迷惑が後者に広がることなく 2 つが連携できるようにする必要があります。そしてもちろん、IT 技術と OT 技術の間の製品ライフサイクルの違い、つまり自動車の寿命はラップトップなどよりもはるかに長く、その差がさらに大きくなるだけです。
カーセキュリティとはどのようなものなのか
車両のサイバーセキュリティがどのような方向に向かうのかをイメージするには、今日の車両における最大かつ最も明白な攻撃面であるインフォテインメントから始めるかもしれません。ここでは 2 つの考え方が発展してきました。
「1 つは、車の製品サイクルを考慮し続けることは決してできないので、気にしないでくださいということです。 Apple CarPlay と Android Auto — それが前進する道です。つまり、自動車メーカーがスクリーンを提供し、その後、携帯電話がインフォテインメント機能を提供します」とティンデル氏は説明します。 「それは良いアプローチだと思います。なぜなら、あなたの携帯電話は明らかにあなたの責任であり、Apple はそれを最新の状態に保ち、すべてパッチを適用しており、その後あなたの車はスクリーンを提供するだけだからです。」
「もう 10 つの考え方は、これらの大企業に自動車の主要な機能を制御させることです。 Google からオペレーティング システムのライセンスを取得すると、Google CarPlay と同等のものになりますが、車に直接接続されます」と彼は言います。 Google のような企業が責任を負っているため、「Pixel スマートフォンを更新するのと同じように、Google にも更新メカニズムがあります。問題は、XNUMX 年後、Google が飽きて閉鎖しようとしても、あなたの車のアップデートをまだ入手できるかということです。」
しかし、たとえメーカーが攻撃対象領域の一部を(可能性は低いが)なんとか絞り込んだり、それを監視する責任を(不完全に)サードパーティに委託したとしても、Pwn2Own 2024 は、まだ説明すべき問題がはるかに多くあることを証明しました。充電器からモデム、オペレーティング システムなどまで。
業界が進むべき方向
ティンデル氏にとって、本当に重要なことは、主流のコンピューティング ファイアウォールを制御システムから遮断し、難所をなくすことです。 「残念ながら、これまでのところいくつかの難題は十分に開発されておらず、悪用の連鎖の終端でそれらを突破できる可能性があります」と彼は付け加えた。
「彼らは何をすべきか分かっていると思います」と Synacktiv の Feil 氏は言います。 「これは他の IT 業界にも当てはまるプロセスです。サイバーセキュリティに投資し、監査を行い、ハッキングが非常に困難になるまで自分のものをハッキングします。」
メーカーをそこまで到達させるには、外部からの介入が必要になるかもしれない、と同氏は考えている。 「業界は規制を制限するために抵抗することができました」とフェイル氏は言う。 「彼らの言い分はこうだ。みんなが電気自動車に切り替えるよう求めているので、我々は大変な時期を過ごしている。それが我々の収益に大きな影響を与えるかもしれない。」しかし、サイバーセキュリティに関しては、何らかの取り組みを行っていることを示さなければなりません。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :持っている
- :は
- :not
- :どこ
- $UP
- 000
- 10
- 20
- 20年
- 2024
- 24
- 40
- 500
- 7
- a
- できる
- アクセス
- 実績
- 追加
- 追加
- 影響を及ぼす
- に対して
- すべて
- 許す
- 許可されて
- 一人で
- 沿って
- 並んで
- また
- an
- および
- アンドロイド
- Apple
- 適用
- アプローチ
- です
- AREA
- AS
- 質問
- At
- 攻撃
- 攻撃
- 注意
- 監査
- オート
- 自動車
- 認知度
- バック
- ベース
- BE
- なぜなら
- になる
- き
- と考えています
- の間に
- ビッグ
- 最大の
- ブルートゥース
- 退屈する
- 悩まします
- ボトム
- もたらす
- ブラウザ
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- 缶
- 自動車
- カード
- 自動車
- 現金
- 最高経営責任者(CEO)
- チェーン
- チャージ
- 充電
- チーフ
- 最高技術責任者
- はっきりと
- コイン
- comes
- 企業
- 会社
- コンクール
- 複雑な
- コンポーネント
- 損害を受けた
- コンピューティング
- お問合せ
- 考えると
- コントロール
- 難問
- 可能性
- コース
- クラック
- サイバーセキュリティ
- サイクル
- 暗いです
- 暗い読書
- 日付
- 中
- 日
- 実証
- 開発
- 難しい
- 直接に
- 異なる
- do
- すること
- ドメイン
- 行われ
- ドア
- ダウン
- 数十
- 各
- 収益
- 電気
- 電気自動車
- 電気自動車
- 電子
- end
- Enterprise
- 装置
- 同等の
- EV
- さらに
- イベント
- 誰も
- すべてのもの
- 体験
- 説明
- 悪用する
- エクスプロイト
- 外部
- 偽
- おなじみの
- 遠く
- 特徴
- ファイナル
- 名
- 欠陥
- 前者
- フォワード
- から
- フル
- 機能
- ギャップ
- 与えた
- 取得する
- 受け
- 与える
- 行く
- 良い
- でログイン
- だ
- グレード
- グループ
- 成長
- ハック
- ハック
- 持っていました
- ハード
- 持ってる
- 避難所
- 持って
- he
- 重く
- こちら
- ハイレベル
- ホーム
- ホスティング
- 認定条件
- HTTPS
- 巨大な
- i
- if
- 画像
- 重要
- in
- ますます
- 産業を変えます
- イニシアチブ
- 興味深い
- インターネット
- 介入
- に
- 投資する
- 問題
- IT
- IT産業
- ITS
- JPG
- ジャンプ
- ただ
- キープ
- 続けて
- キー
- 知っている
- ラボ
- 欠如
- ノートパソコン
- 姓
- 昨年
- 持続する
- 最低
- less
- う
- ライセンス
- 生活
- ような
- LINE
- linuxの
- ll
- より長いです
- 見て
- 見
- たくさん
- 機械
- 主流
- make
- 管理します
- マネージド
- 管理する
- メーカー
- メーカー
- 五月..
- 手段
- メカニズム
- 金属
- マイクロ
- かもしれない
- ミックス
- 他には?
- 最も
- ずっと
- の試合に
- しなければなりません
- ナレラティブ
- 決して
- 新作
- 9
- 注目すべき
- 今
- 数
- 明白
- of
- オフ
- 役員
- on
- かつて
- ONE
- の
- 開いた
- オペレーティング
- オペレーティングシステム
- OS
- オペレータ
- or
- その他
- 私たちの
- 外側
- アウトソーシング
- が
- 監督
- 概要
- 部
- パーティー
- 過去
- 支払う
- 電話
- 携帯電話
- ピクセル
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 可能
- 賞
- 問題
- プロセス
- プロダクト
- 約束
- は、大阪で
- 提供
- 公然と
- プッシュ
- 押し戻す
- Pwn2Own
- 質問
- RE
- リーディング
- 本当に
- 規制
- リモートから
- 必要とする
- 研究
- 研究者
- 責任
- REST
- 制限する
- 結果
- 再利用
- ルート
- ルール
- s
- 同じ
- 見ました
- 言う
- 言う
- 学校
- 学校
- 画面
- 精査
- 二番
- 秒
- セキュリティ
- 送信
- 別
- サーバー
- 仕える
- すべき
- 表示する
- シャット
- スマート
- So
- これまでのところ
- 一部
- 何か
- ソース
- 広がる
- 絞る
- start
- ステーション
- まだ
- 強い
- そのような
- 表面
- スイッチ
- システム
- 取る
- 会話
- ターゲット
- チーム
- テク
- テクノロジー
- 電気通信
- テスラ
- テスラ
- より
- それ
- ソース
- アプリ環境に合わせて
- それら
- その後
- そこ。
- ボーマン
- 彼ら
- もの
- 考える
- 三番
- 第三者
- この
- 今年
- しかし?
- 考え
- 脅威
- 時間
- 〜へ
- 今日
- 一緒に
- 東京
- ツール
- touch
- 厳しい
- 伝統的な
- トレンド
- 試します
- 2
- 下
- 残念ながら
- ユニーク
- ありそうもない
- まで
- アップデイト
- 更新版
- us
- バンクーバー
- 大いに
- Ve
- 自動車
- 車
- ベンダー
- 非常に
- 脆弱性
- 脆弱性
- ました
- 仕方..
- we
- WELL
- went
- この試験は
- 何ですか
- いつ
- which
- while
- Wi-Fiあり
- 賞金
- 無線
- 無し
- 仕事
- 共に働く
- 世界の
- 書いた
- 年
- 年
- まだ
- You
- あなたの
- ゼファーネット
- ゼロ
- ゼロデイ
- ゼロデイ脆弱性