In slechts twee dagen tijd hebben onderzoekers tijdens Pwn2Own 2024 in Tokio een hele reeks opladers voor elektrische voertuigen, besturingssystemen en Tesla-componenten gecompromitteerd en onderweg tientallen zero-day-kwetsbaarheden blootgelegd.
Pwn2Own van vorig jaar in Vancouver flirtte met auto's als aanvalsoppervlak en voegde Tesla's toe aan de mix naast wedstrijden om meer traditionele servers, bedrijfsapplicaties, browsers en dergelijke te hacken. Maar het evenement van dit jaar ging vol gas en de resultaten waren verhelderend. Op de eerste dag alleen al demonstreerden de deelnemers 24 unieke zero-days, wat hen $ 722,500 aan winst opleverde. Dag twee zag twintig nieuwe exploits, en de laatste, derde dag belooft nog negen.
โVoertuigen worden steeds meer een complex systeem van systemenโ, zegt Dustin Childs, hoofd dreigingsbewustzijn bij het Zero Day Initiative (ZDI) van Trend Micro, de groep die het evenement organiseert. โEr is in het verleden niet veel onderzoek op dit gebied gedaan, en op basis van onze ervaring betekent het gebrek aan extern toezicht dat er veel veiligheidsproblemen kunnen zijn.โ
Tesla's hacken
Het opvallende evenement tijdens de Pwn2Own van vorig jaar was toen een team van het in Toulouse gevestigde Synacktiv erin slaagde in minder dan twee minuten een Tesla Model 3 doorbreken.
Dit jaar is Synacktiv teruggekeerd met exploits van de Ubiquiti Connect en JuiceBox 40 Smart EV-laadstations, de ChargePoint Home Flex (een EV-oplaadtool voor thuis) en het voor zichzelf sprekende Automotive Grade Linux. De meest opvallende prestaties zijn echter een exploitketen met drie bugs tegen Tesla's modem en een keten met twee bugs tegen het infotainmentsysteem, die elk een geldprijs van $ 100,000 opleverden.
Volgens de regels van het evenement hebben leveranciers negentig dagen de tijd om hun beveiligingsfouten te herstellen voordat deze openbaar mogen worden gemaakt. Maar in een e-mail uit Tokio gaven de Synacktiv-krakers Dark Reading een overzicht op hoog niveau van hoe de aanvallen eruit zagen:
โDe aanval wordt verzonden vanaf een GSM-antenne die een nep-BTS (malafide telecomoperator) emuleert. Een eerste kwetsbaarheid geeft root-toegang tot de modemkaart van de Teslaโ, schreven ze. โEen tweede aanval springt van het modem naar het infotainmentsysteem. En door de beveiligingsfuncties van dit proces te omzeilen, is het mogelijk om toegang te krijgen tot meerdere apparatuur in de auto, zoals de koplampen en de ruitenwissers, of om de kofferbak en de deuren te openen.โ
Met Teslas, zegt Renaud Feil, CEO van Synacktiv, โis het een tweezijdige medaille. Het is een auto met een enorm aanvalsoppervlak: alles is IT in een Tesla. Maar ze hebben ook een sterk beveiligingsteam en proberen veel aandacht te besteden aan beveiliging. Het is dus een enorm doelwit, maar het is een moeilijk doelwit.โ
Moderne auto's op een kruispunt
"Het aanvalsoppervlak van de auto wordt groter en het wordt steeds interessanter, omdat fabrikanten draadloze connectiviteit toevoegen en applicaties waarmee je op afstand toegang kunt krijgen tot de auto via internet", zegt Feil.
Ken Tindell, chief technology officer van Canis Automotive Labs, onderschrijft dit punt. โWat echt interessant is, is hoe zoveel hergebruik van reguliere computers in autoโs alle beveiligingsproblemen van reguliere computers met zich meebrengt in autoโs.โ
โAutoโs hebben al minstens twintig jaar een tweewereldgevoelโ, legt hij uit. Ten eerste: โJe hebt mainstream computing (niet zo goed gedaan) in het infotainmentsysteem. We hebben dit al een tijdje in auto's en het is de bron geweest van een groot aantal kwetsbaarheden โ in Bluetooth, Wi-Fi, enzovoort. En dan heb je nog de besturingselektronica, en dat zijn twee heel aparte domeinen. Natuurlijk krijg je dan problemen bij dat infotainment begint de CAN-bus te raken dat gaat over de remmen, koplampen en dat soort dingen.โ
Het is een raadsel dat OT-beoefenaars bekend zouden moeten zijn: IT-apparatuur beheren naast veiligheidskritische machines, op een zodanige manier dat de twee kunnen samenwerken zonder de overlast van de eerste over te brengen op de laatste. En natuurlijk de ongelijksoortige productlevenscycli tussen IT- en OT-technologie โ autoโs die veel langer meegaan dan bijvoorbeeld laptops โ waardoor de kloof alleen maar kleiner wordt.
Hoe autobeveiliging eruit zou kunnen zien
Om een โโbeeld te krijgen van waar de cyberbeveiliging van voertuigen naartoe gaat, zou je kunnen beginnen bij infotainment โ โโhet grootste, meest voor de hand liggende aanvalsoppervlak in autoโs van vandaag. Hier hebben zich twee denkrichtingen ontwikkeld.
โDe eerste is: laten we ons er maar niet druk over maken, want je zult nooit de productcycli in auto's kunnen blijven volgen. Apple CarPlay en Android Auto: dat is de weg vooruit. Dus de autofabrikant zorgt voor een scherm, en dan zorgt je telefoon voor het infotainmentโ, legt Tindell uit. "Ik denk dat dat een goede aanpak is, want je telefoon is duidelijk jouw verantwoordelijkheid, Apple houdt hem up-to-date, alles is gepatcht en dan biedt je auto alleen maar een scherm."
โDe andere gedachtegang is om deze grote bedrijven de controle over de belangrijkste functies van je autoโs te laten overnemen. Licentie voor een besturingssysteem van Google, en nu is het het equivalent van Google CarPlay, maar dan rechtstreeks aangesloten op de autoโ, zegt hij. Nu een bedrijf als Google de leiding heeft, โis er een updatemechanisme voor, net zoals het hun Pixel-telefoons bijwerkt. De vraag is: krijg je over tien jaar nog steeds updates voor je auto als Google zich verveelt en probeert de auto uit te schakelen?
Maar zelfs als fabrikanten erin slagen een deel van het aanvalsoppervlak af te persen (onwaarschijnlijk) of de verantwoordelijkheid voor het toezicht hierop uit te besteden aan derden (imperfect), heeft Pwn2Own 2024 aangetoond dat ze nog steeds veel meer problemen zullen hebben om rekening mee te houden: EV opladers voor modems, besturingssystemen en meer.
Waar de industrie heen moet
Voor Tindell is het echt belangrijk om de reguliere computerfirewall buiten de controlesystemen te houden, zodat er een knelpunt ontstaat. โHelaas zijn sommige knelpunten tot nu toe nog niet erg goed ontwikkeld en kun je ze kraken aan het einde van een reeks exploitsโ, voegt hij eraan toe.
"Ik denk dat ze weten wat ze moeten doen", zegt Feil van Synacktiv. โHet is hetzelfde proces dat van toepassing is op de rest van de IT-industrie: investeer in cybersecurity, doe wat audits, hack je spullen totdat het heel moeilijk wordt om te hacken.โ
Om fabrikanten zover te krijgen, is volgens hem wellicht enige tussenkomst van buitenaf nodig. โDe sector heeft zich kunnen terugtrekken om de regelgeving te beperkenโ, zegt Feil. โHun verhaal is: we hebben het moeilijk, omdat iedereen ons vraagt โโom over te stappen op elektrische autoโs, en dit kan een grote invloed hebben op onze bedrijfsresultaten. Maar ze moeten laten zien dat ze iets doen als het om cybersecurity gaat.โ
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- : heeft
- :is
- :niet
- :waar
- $UP
- 000
- 10
- 20
- 20 jaar
- 2024
- 24
- 40
- 500
- 7
- a
- in staat
- toegang
- Account
- prestaties
- toe te voegen
- Voegt
- invloed hebben op
- tegen
- Alles
- toelaten
- toegestaan
- alleen
- langs
- naast
- ook
- an
- en
- android
- Apple
- toepassingen
- geldt
- nadering
- ZIJN
- GEBIED
- AS
- vragen
- At
- aanvallen
- Aanvallen
- aandacht
- audits
- auto
- automotive
- bewustzijn
- terug
- gebaseerde
- BE
- omdat
- worden
- geweest
- vaardigheden
- gelooft
- tussen
- Groot
- Grootste
- Bluetooth
- Bored
- dwars zitten
- Onder
- Brengt
- browsers
- maar
- CAN
- auto
- kaart
- auto's
- Contant geld
- ceo
- keten
- lading
- opladen
- chef
- Chief Technology Officer
- duidelijk
- Munt
- komt
- Bedrijven
- afstand
- Wedstrijden
- complex
- componenten
- Aangetast
- computergebruik
- Verbinden
- aangezien
- onder controle te houden
- raadsel
- kon
- Type cursus
- barst
- Cybersecurity
- cycli
- Donker
- Donkere lezing
- Datum
- dag
- dagen
- gedemonstreerd
- het ontwikkelen van
- moeilijk
- direct
- ongelijksoortig
- do
- doen
- domeinen
- gedaan
- deuren
- beneden
- tientallen
- elk
- verdiencapaciteit
- Elektrisch
- elektrische auto's
- elektrisch voertuig
- Elektronica
- einde
- Enterprise
- uitrusting
- Gelijkwaardig
- EV
- Zelfs
- Event
- iedereen
- alles
- ervaring
- Verklaart
- Exploiteren
- exploits
- extern
- nep
- vertrouwd
- ver
- Voordelen
- finale
- Voornaam*
- gebreken
- Voor
- Voormalig
- Naar voren
- oppompen van
- vol
- functies
- kloof
- gaf
- krijgen
- het krijgen van
- geeft
- gaan
- goed
- Kopen Google Reviews
- kreeg
- graad
- Groep
- Groeiend
- houwen
- hacks
- HAD
- Hard
- Hebben
- veilige haven
- met
- he
- hoofd
- hard
- hier
- high-level
- Home
- Hosting
- Hoe
- HTTPS
- reusachtig
- i
- if
- beeld
- belangrijk
- in
- in toenemende mate
- -industrie
- initiatief
- interessant
- Internet
- tussenkomst
- in
- Investeren
- problemen
- IT
- IT-industrie
- HAAR
- jpg
- sprongen
- voor slechts
- Houden
- houdt
- sleutel
- blijven
- Labs
- Gebrek
- laptops
- Achternaam*
- Afgelopen jaar
- duurzaam
- minst
- minder
- laten
- Vergunning
- Life
- als
- Lijn
- linux
- ll
- langer
- Kijk
- keek
- lot
- machinerie
- Hoofdstroom
- maken
- beheer
- beheerd
- beheren
- Fabrikant
- Fabrikanten
- Mei..
- middel
- mechanisme
- metaal
- micro-
- macht
- mengen
- model
- meer
- meest
- veel
- meervoudig
- Dan moet je
- VERHAAL
- nooit
- New
- negen
- opvallend
- nu
- aantal
- Voor de hand liggend
- of
- korting
- Officier
- on
- eens
- EEN
- Slechts
- open
- werkzaam
- besturingssysteem
- besturingssystemen
- operator
- or
- Overige
- onze
- buiten
- uitbesteden
- over
- toezicht
- overzicht
- deel
- partijen
- verleden
- Betaal
- phone
- telefoons
- pixel
- Plato
- Plato gegevensintelligentie
- PlatoData
- punt
- mogelijk
- prijs
- problemen
- Product
- Beloften
- biedt
- het verstrekken van
- in het openbaar
- Duwen
- terugduwen
- Pwn2Own
- vraag
- RE
- lezing
- werkelijk
- Regulatie
- ver
- vereisen
- onderzoek
- onderzoekers
- verantwoordelijkheid
- REST
- beperken
- Resultaten
- hergebruiken
- wortel
- reglement
- s
- dezelfde
- zagen
- ervaren
- zegt
- School
- scholen
- scherm
- nauwkeurig onderzoek
- Tweede
- seconden
- veiligheid
- verzonden
- apart
- Servers
- bedient
- moet
- tonen
- sluiten
- slim
- So
- dusver
- sommige
- iets
- bron
- verspreiding
- Persen
- begin
- Stations
- Still
- sterke
- dergelijk
- Oppervlak
- Stap over voor slechts
- system
- Systems
- Nemen
- praat
- doelwit
- team
- tech
- Technologie
- telecom
- Tesla
- tesla
- neem contact
- dat
- De
- De Bron
- hun
- Ze
- harte
- Er.
- Deze
- ze
- ding
- denken
- Derde
- derden
- dit
- dit jaar
- toch?
- gedachte
- bedreiging
- niet de tijd of
- naar
- vandaag
- samen
- tokyo
- tools
- taai
- traditioneel
- trend
- proberen
- twee
- voor
- helaas
- unieke
- onwaarschijnlijk
- tot
- bijwerken
- updates
- us
- vancouver
- enorm
- Ve
- voertuig
- Voertuigen
- vendors
- zeer
- kwetsbaarheden
- kwetsbaarheid
- was
- Manier..
- we
- GOED
- gegaan
- Wat
- Wat is
- wanneer
- welke
- en
- Wi-fi
- winst
- draadloze
- Met
- zonder
- Mijn werk
- samenwerken
- s werelds
- schreef
- jaar
- jaar
- nog
- You
- Your
- zephyrnet
- nul
- Zero Day
- zero-day kwetsbaarheden