연구원들은 도쿄에서 열린 Pwn2Own 2024에서 단 이틀 만에 다양한 전기 자동차 충전기, 운영 체제, Tesla 구성 요소를 손상시키고 그 과정에서 수십 개의 제로 데이 취약점을 발견했습니다.
작년 밴쿠버에서 열린 Pwn2Own은 자동차를 공격 표면으로 삼아 경쟁업체와 함께 Tesla를 혼합하여 기존 서버, 기업 애플리케이션, 브라우저 등을 해킹했습니다. 그러나 올해 행사는 본격적으로 진행되었으며 그 결과는 매우 밝았습니다. 첫날 참가자들은 24개의 고유한 제로데이를 시연하여 $722,500의 상금을 획득했습니다. 둘째 날 20개의 새로운 익스플로잇이 발견되었으며 마지막 셋째 날에는 XNUMX개가 더 추가될 것으로 예상됩니다.
행사를 주최하는 Trend Micro ZDI(Zero Day Initiative)의 위협 인식 책임자인 Dustin Childs는 “차량은 점점 더 복잡한 시스템 시스템이 되어가고 있습니다.”라고 말합니다. "과거에는 이 분야에 대한 연구가 많지 않았으며, 우리의 경험에 따르면 외부 조사가 부족하다는 것은 보안 문제가 많을 수 있음을 의미합니다."
Tesla 해킹
작년 Pwn2Own에서 헤드라인을 장식한 이벤트는 툴루즈에 본사를 둔 Synacktiv 팀이 3분 안에 Tesla Model XNUMX를 위반하세요.
올해 Synacktiv는 Ubiquiti Connect 및 JuiceBox 40 Smart EV 충전소, ChargePoint Home Flex(가정용 EV 충전 도구) 및 설명이 필요 없는 Automotive Grade Linux를 활용하여 돌아왔습니다. 그러나 가장 주목할만한 성과는 Tesla 모뎀에 대한 100,000개의 버그 익스플로잇 체인과 인포테인먼트 시스템에 대한 XNUMX개의 버그 체인으로 각각 XNUMX달러의 상금을 받았습니다.
이벤트 규칙에 따르면 공급업체는 보안 결함이 공개되기 전에 90일 이내에 이를 수정해야 합니다. 그러나 Synacktiv 크래커는 도쿄에서 보낸 이메일을 통해 Dark Reading에 공격이 어떤 모습인지에 대한 높은 수준의 개요를 제공했습니다.
“공격은 가짜 BTS(불량 통신 사업자)를 에뮬레이트하는 GSM 안테나에서 전송됩니다. 첫 번째 취약점은 Tesla의 모뎀 카드에 대한 루트 액세스를 제공합니다.”라고 그들은 썼습니다. “두 번째 공격은 모뎀에서 인포테인먼트 시스템으로 이동합니다. 그리고 이 프로세스의 보안 기능을 우회하면 헤드라이트, 앞유리 와이퍼 등 자동차의 여러 장비에 접근하거나 트렁크와 도어를 열 수 있습니다.”
Synacktiv CEO Renaud Feil은 Teslas에 대해 “양면의 동전과 같습니다. 공격 표면이 거대한 자동차입니다. Tesla의 모든 것이 IT입니다. 하지만 그들은 또한 강력한 보안 팀을 보유하고 있으며 보안에 많은 관심을 기울이려고 노력합니다. 그래서 큰 목표이면서도 어려운 목표다.”
교차로에 있는 현대 자동차
Feil은 “자동차의 공격 표면이 커지고 있으며 제조업체가 무선 연결과 인터넷을 통해 원격으로 자동차에 액세스할 수 있는 애플리케이션을 추가하고 있기 때문에 점점 더 흥미로워지고 있습니다.”라고 말했습니다.
Canis Automotive Labs의 최고 기술 책임자인 Ken Tindell은 이 점을 강조합니다. "정말 흥미로운 점은 주류 컴퓨팅을 자동차에 너무 많이 재사용하면 주류 컴퓨팅의 모든 보안 문제가 자동차에까지 이어진다는 것입니다."
“자동차는 적어도 20년 동안 이 두 가지 세계를 갖고 있었습니다.”라고 그는 설명합니다. 첫째, “인포테인먼트 시스템에 주류 컴퓨팅(그다지 잘 수행되지는 않음)이 있습니다. 우리는 한동안 자동차에 이 기능을 탑재해 왔으며 Bluetooth, Wi-Fi 등에서 수많은 취약점의 원인이 되었습니다. 그리고 제어 전자 장치가 있고 그 둘은 매우 별개의 영역입니다. 물론 인포테인먼트를 사용하면 문제가 발생합니다. CAN 버스에 닿기 시작합니다 그것은 브레이크, 헤드라이트 등과 같은 것들에 대해 이야기하고 있습니다.”
이는 OT 실무자에게 친숙해야 할 난제입니다. 즉, 안전이 중요한 기계와 함께 IT 장비를 관리하여 전자의 불편을 후자에 퍼뜨리지 않고 두 장치가 함께 작업할 수 있도록 하는 것입니다. 그리고 물론 IT와 OT 기술 간의 서로 다른 제품 수명 주기(예를 들어 노트북보다 자동차의 수명이 훨씬 더 길기 때문에)로 인해 그 격차가 훨씬 덜해집니다.
자동차 보안의 모습
차량 사이버 보안이 어디로 향하는지에 대한 이미지는 오늘날 자동차의 가장 크고 가장 명백한 공격 표면인 인포테인먼트에서 시작할 수 있습니다. 여기에는 두 가지 사고 학파가 발전해 왔습니다.
“첫 번째는 자동차의 제품 주기를 계속 고려하지 않을 것이기 때문에 신경쓰지 말자는 것입니다. Apple CarPlay와 Android Auto — 이것이 바로 앞으로 나아갈 길입니다. 따라서 자동차 제조업체는 화면을 제공하고 휴대폰은 인포테인먼트 기능을 제공합니다.”라고 Tindell은 설명합니다. "나는 그것이 좋은 접근 방식이라고 생각한다. 왜냐하면 당신의 휴대폰은 분명히 당신의 책임이고, Apple은 그것을 최신 상태로 유지하고, 모든 것이 패치되어 있고, 당신의 자동차는 화면만 제공할 뿐이기 때문이다."
“또 다른 생각은 이들 대기업이 자동차의 주요 기능을 제어하도록 하는 것입니다. Google에서 운영 체제 라이선스를 취득하면 이제 Google CarPlay와 동일하지만 자동차에 직접 연결됩니다.”라고 그는 말합니다. Google과 같은 회사가 담당하면서 “Pixel 휴대폰을 업데이트하는 것처럼 업데이트 메커니즘이 있습니다. 문제는 10년 후에도 Google이 지루해져서 자동차를 폐쇄하려고 해도 자동차에 대한 업데이트를 계속 받을 것인가 하는 것입니다.”
그러나 제조업체가 공격 표면의 한 부분을 쥐어짜거나(불완전하게) 이를 감독하는 책임을 제2자에게 아웃소싱하더라도(불완전하게), Pwn2024Own XNUMX는 아직 설명해야 할 훨씬 더 많은 문제가 있음을 보여주었습니다. 모뎀, 운영 체제 등에 대한 충전기.
산업이 가야 할 곳
Tindell에게 정말 중요한 것은 제어 시스템에서 주류 컴퓨팅 방화벽을 차단하여 병목 지점을 만드는 것입니다. “안타깝게도 지금까지 일부 병목 지점은 제대로 개발되지 않았으며 일련의 익스플로잇이 끝나면 이를 해독할 수 있습니다.”라고 그는 덧붙였습니다.
Synacktiv의 Feil은 “그들이 무엇을 해야 할지 알고 있다고 생각합니다.”라고 말합니다. "이것은 나머지 IT 산업에 적용되는 것과 동일한 프로세스입니다. 사이버 보안에 투자하고, 일부 감사를 수행하고, 해킹하기가 매우 어려워질 때까지 해킹하세요."
그는 제조업체가 그 지점에 도달하려면 외부 개입이 필요할 수 있다고 생각합니다. “업계에서는 규제를 제한하기 위해 반발할 수 있었습니다.”라고 Feil은 말합니다. “그들의 이야기는 다음과 같습니다. 모두가 우리에게 전기 자동차로 전환하라고 요구하고 있으며 이는 우리 수익에 큰 영향을 미칠 수 있기 때문에 우리는 힘든 시간을 보내고 있습니다. 하지만 사이버 보안과 관련해 뭔가를 하고 있다는 것을 보여줘야 합니다.”
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :있다
- :이다
- :아니
- :어디
- $UP
- 000
- 10
- 20
- 20년
- 2024
- 24
- 40
- 500
- 7
- a
- 할 수 있는
- ACCESS
- 계정
- 업적
- 첨가
- 추가
- 영향을
- 반대
- All
- 수
- 수
- 혼자
- 따라
- 함께
- 또한
- an
- 및
- 기계적 인조 인간
- Apple
- 어플리케이션
- 적용하다
- 접근
- 있군요
- 지역
- AS
- 질문
- At
- 공격
- 공격
- 주의
- 감사
- 자동
- 자동차
- 인식
- 뒤로
- 기반으로
- BE
- 때문에
- 되고
- 된
- 전에
- 생각
- 사이에
- 큰
- 가장 큰
- 블루투스
- 지루한
- 귀찮음
- 바닥
- 돋보이게
- 브라우저
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- CAN
- 자동차
- 카드
- 자동차
- 현금
- 대표 이사
- 체인
- 요금
- 청구
- 주요한
- 최고 기술 책임자 (CTO)
- 명확하게
- 동전
- 제공
- 기업
- 회사
- 경기
- 복잡한
- 구성 요소들
- 손상된
- 컴퓨팅
- 연결하기
- 치고는
- 제어
- 수수께끼
- 수
- 코스
- 갈라진 금
- 사이버 보안
- 주기
- 어두운
- 어두운 독서
- 날짜
- 일
- 일
- 시연
- 개발
- 어려운
- 직접
- 다른
- do
- 하기
- 도메인
- 한
- 문
- 아래 (down)
- 수십
- 마다
- 적립
- 전기
- 전기 자동차
- 전기 자동차
- 전자
- 이메일
- end
- Enterprise
- 장비
- 동등한
- EV
- 조차
- 이벤트
- 사람
- 모두
- 경험
- 설명
- 공적
- 공격
- 외부
- 모조품
- 익숙한
- 멀리
- 특징
- 최후의
- 먼저,
- 결함
- 럭셔리
- 이전
- 앞으로
- 에
- 가득 찬
- 기능
- 갭
- 했다
- 얻을
- 점점
- 제공
- 가는
- 좋은
- 구글
- 있어
- 학년
- 그룹
- 성장하는
- 마구 자르기
- 해킹
- 했다
- 하드
- 있다
- 항구
- 데
- he
- 머리
- 무겁게
- 여기에서 지금 확인해 보세요.
- 고수준
- 홈
- 호스팅
- 방법
- HTTPS
- 거대한
- i
- if
- 영상
- 중대한
- in
- 더욱 더
- 산업
- 발의
- 흥미있는
- 인터넷
- 개입
- 으로
- 사다
- 문제
- IT
- IT 산업
- 그
- JPG
- 점프
- 다만
- 유지
- 유지
- 키
- 알아
- 실험실
- 결핍
- 노트북
- 성
- 작년
- 일종의 튼튼한 나사
- 가장 작은
- 적게
- 하자
- 특허
- 생활
- 처럼
- 라인
- 리눅스
- ll
- 이상
- 보기
- 보고
- 롯
- 기계
- 주류
- 확인
- 관리
- 관리
- 관리
- 제조업 자
- 제조 업체
- XNUMX월..
- 방법
- 기구
- 금속
- 마이크로
- 수도
- 혼합
- 모델
- 배우기
- 가장
- 많은
- 여러
- 절대로 필요한 것
- 이야기
- 못
- 신제품
- 구
- 주목할 만한
- 지금
- 번호
- 분명한
- of
- 오프
- 장교
- on
- 일단
- ONE
- 만
- 열 수
- 운영
- 운영 체제
- 운영체제
- 연산자
- or
- 기타
- 우리의
- 외부
- 외주
- 위에
- 감독
- 개요
- 부품
- 파티
- 과거
- 지불
- 전화
- 전화
- 픽셀
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 포인트 적립
- 가능한
- 상
- 문제
- 방법
- 프로덕트
- 약속
- 제공
- 제공
- 공개적으로
- 푸시
- 뒤로 밀다
- Pwn2Own
- 문제
- RE
- 읽기
- 정말
- 규제
- 원격
- 필요
- 연구
- 연구원
- 책임
- REST
- 얽매다
- 결과
- 재사용
- 뿌리
- 규칙
- s
- 같은
- 본
- 라고
- 라고
- 학교
- 학교
- 화면
- 정밀한 조사
- 둘째
- 초
- 보안
- 전송
- 별도의
- 서버
- 봉사하다
- 영상을
- 표시
- 폐쇄
- 스마트 한
- So
- 지금까지
- 일부
- 무언가
- 출처
- 복음
- 압착
- 스타트
- 역
- 아직도
- 강한
- 이러한
- 표면
- 스위치
- 체계
- 시스템은
- 받아
- 말하는
- 목표
- 팀
- 기술
- Technology
- 통신
- 테슬라
- 테슬라
- 보다
- 그
- XNUMXD덴탈의
- 소스
- 그들의
- 그들
- 그때
- 그곳에.
- Bowman의
- 그들
- 맡은 일
- 생각
- 제삼
- 제 3 자
- 이
- 올해
- 그래도?
- 생각
- 위협
- 시간
- 에
- 오늘
- 함께
- 도쿄
- 수단
- 터치
- 힘든
- 전통적인
- 경향
- 시도
- 두
- 아래에
- 운수 나쁘게
- 유일한
- 가능성
- 까지
- 업데이트
- 업데이트
- us
- 밴쿠버
- 크게
- Ve
- 자동차
- 차량
- 공급 업체
- 대단히
- 취약점
- 취약점
- 였다
- 방법..
- we
- 잘
- 갔다
- 뭐
- 언제
- 어느
- 동안
- Wi-Fi 접속 설비
- 상금
- 무선 전화
- 과
- 없이
- 작업
- 협력
- 세계
- 쓴
- year
- 년
- 아직
- 자신의
- 너의
- 제퍼 넷
- 제로
- 제로 데이 (Zero Day)
- 제로 데이 취약점