På bare to dager på Pwn2Own 2024 i Tokyo, har forskere kompromittert en rekke elektriske kjøretøyladere, operativsystemer, Tesla-komponenter og avdekket dusinvis av nulldagers sårbarheter underveis.
Fjorårets Pwn2Own i Vancouver flørtet med biler som angrepsflate, og la Teslaer inn i blandingen sammen med konkurranser for å hacke mer tradisjonelle servere, bedriftsapplikasjoner, nettlesere og lignende. Men årets arrangement gikk for fullt, og resultatene har vært opplysende. På den første dagen alene demonstrerte deltakerne 24 unike zero-days, og ga dem $722,500 XNUMX i gevinster. Dag to så 20 nye bedrifter, og den siste tredje dagen lover ni flere.
"Kjøretøy blir i økende grad et komplekst system av systemer," sier Dustin Childs, leder for trusselbevissthet for Trend Micros Zero Day Initiative (ZDI), gruppen som er vertskap for arrangementet. "Det har ikke vært mye forskning på dette området tidligere, og basert på vår erfaring betyr at mangel på ekstern gransking at det kan være mange sikkerhetsproblemer."
Hacker inn i Teslaer
Den overskriftsfengende begivenheten på fjorårets Pwn2Own var da et team fra Toulouse-baserte Synacktiv klarte å bryte en Tesla Model 3 på under to minutter.
I år har Synacktiv kommet tilbake med utnyttelser av Ubiquiti Connect- og JuiceBox 40 Smart EV-ladestasjonene, ChargePoint Home Flex (et hjemmeladede verktøy for elbiler) og den selvforklarende Automotive Grade Linux. De mest bemerkelsesverdige prestasjonene har imidlertid vært en utnyttelseskjede med tre feil mot Teslas modem, og en kjede med to feil mot infotainmentsystemet, som hver har fått en pengepremie på $100,000 XNUMX.
I henhold til reglene for arrangementet har leverandører 90 dager på seg til å utbedre sine sikkerhetsmangler før de får lov til å bli offentliggjort. Men i en e-post fra Tokyo ga Synacktiv-crackere Dark Reading en oversikt på høyt nivå over hvordan angrepene så ut:
"Angrepet er sendt fra en GSM-antenne som emulerer en falsk BTS (rogue telecom operator). En første sårbarhet gir root-tilgang til modemkortet til Teslaen», skrev de. «Et andre angrep hopper fra modemet til infotainmentsystemet. Og utenom sikkerhetsfunksjonene på denne prosessen, er det mulig å få tilgang til flere utstyr på bilen, som frontlyktene, vindusviskerne, eller å åpne bagasjerommet og dørene.»
Med Teslas, sier Synacktiv-sjef Renaud Feil, "er det en tosidig mynt. Det er en bil som har en enorm angrepsflate - alt er IT i en Tesla. Men de har også et sterkt sikkerhetsteam, og de prøver å legge stor vekt på sikkerhet. Så det er et stort mål, men det er et vanskelig mål.»
Moderne biler ved et veiskille
"Angrepsoverflaten til bilen vokser, og den blir mer og mer interessant, fordi produsenter legger til trådløse tilkoblinger og applikasjoner som lar deg få tilgang til bilen eksternt over Internett," sier Feil.
Ken Tindell, teknologisjef i Canis Automotive Labs, underbygger poenget. "Det som virkelig er interessant er hvordan så mye gjenbruk av mainstream databehandling i biler bringer med seg alle sikkerhetsproblemene med mainstream databehandling inn i biler."
"Biler har hatt denne to verdener-tingen i minst 20 år," forklarer han. For det første, "du har mainstream databehandling (ikke gjort veldig bra) i infotainmentsystemet. Vi har hatt dette i biler en stund, og det har vært kilden til et stort antall sårbarheter – i Bluetooth, Wi-Fi og så videre. Og så har du kontrollelektronikken, og de to er veldig separate domener. Selvfølgelig får du problemer når den infotainment da begynner å berøre CAN-bussen det er å snakke med bremsene, frontlyktene og slike ting.»
Det er en gåte som bør være kjent for OT-utøvere: å administrere IT-utstyr ved siden av sikkerhetskritisk maskineri, på en slik måte at de to kan jobbe sammen uten å spre førstnevntes plager til sistnevnte. Og, selvfølgelig, de ulike produktlivssyklusene mellom IT og OT-teknologi – biler som varer mye lenger enn for eksempel bærbare datamaskiner – som bare tjener til å gjøre gapet enda mindre tungt.
Hvordan bilsikkerhet kan se ut
For å få et bilde av hvor kjøretøyets cybersikkerhet går, kan man begynne med infotainment – den største, mest åpenbare angrepsflaten i biler i dag. Her har det vært to skoler i utvikling.
«Den ene er: La oss bare ikke bry oss, for du vil aldri fortsette å vurdere produktsyklusene i biler. Apple CarPlay og Android Auto - det er veien videre. Så bilprodusenten sørger for en skjerm, og så gir telefonen din infotainment, forklarer Tindell. "Jeg tror det er en god tilnærming, fordi telefonen din helt klart er ditt ansvar, Apple holder den oppdatert, alt er lappet, og så gir bilen din bare en skjerm."
"Den andre tankegangen er å la disse store selskapene ta kontroll over nøkkelfunksjonene til bilene dine. Lisensier et operativsystem fra Google, og nå er det Google CarPlay-ekvivalenten, men direkte koblet til bilen, sier han. Med et selskap som Google ansvarlig, "er det en oppdateringsmekanisme for det, akkurat som det oppdaterer Pixel-telefonene deres. Spørsmålet er, om 10 år kommer du fortsatt til å få oppdateringer for bilen din når Google kjeder seg og prøver å slå den av?»
Men selv om produsenter klarer å klemme en del av angrepsoverflaten (usannsynlig) eller sette ut ansvaret for å overvåke den til tredjeparter (ufullkommen), har Pwn2Own 2024 vist at de fortsatt vil ha mye flere problemer å gjøre rede for: EV ladere til modemer, operativsystemer og mer.
Hvor industrien må gå
For Tindell er det som virkelig er viktig å holde mainstream-databehandlingen avstengt fra kontrollsystemene, slik at det er et strupepunkt. "Dessverre har noen av strupepunktene så langt ikke vært veldig godt utviklet, og du kan knekke dem på slutten av en kjede av bedrifter," legger han til.
"Jeg tror de vet hva de skal gjøre," sier Synacktivs Feil. "Det er den samme prosessen som gjelder for resten av IT-bransjen: invester i cybersikkerhet, gjør noen revisjoner, hack tingene dine til det blir veldig vanskelig å hacke."
Å få produsentene til det punktet, mener han, kan kreve litt ekstern intervensjon. "Bransjen har vært i stand til å presse tilbake for å begrense regulering," sier Feil. "Fortellingen deres er: Vi har en tøff tid, fordi alle ber oss om å bytte til elbiler, og det kan påvirke bunnlinjen vår sterkt. Men de må vise at de gjør noe når det gjelder cybersikkerhet.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- : har
- :er
- :ikke
- :hvor
- $OPP
- 000
- 10
- 20
- 20 år
- 2024
- 24
- 40
- 500
- 7
- a
- I stand
- adgang
- Logg inn
- prestasjoner
- legge
- Legger
- påvirke
- mot
- Alle
- tillate
- tillatt
- alene
- langs
- sammen
- også
- an
- og
- android
- eple
- søknader
- gjelder
- tilnærming
- ER
- AREA
- AS
- spør
- At
- angripe
- Angrep
- oppmerksomhet
- revisjoner
- auto
- automotive
- bevissthet
- tilbake
- basert
- BE
- fordi
- bli
- vært
- før du
- mener
- mellom
- Stor
- Biggest
- blåtann
- Bored
- bry
- Bunn
- Bringer
- nettlesere
- men
- CAN
- bil
- kort
- biler
- Kontanter
- konsernsjef
- kjede
- kostnad
- lading
- sjef
- Chief Technology Officer
- klart
- Coin
- kommer
- Selskaper
- Selskapet
- Konkurranser
- komplekse
- komponenter
- kompromittert
- databehandling
- Koble
- vurderer
- kontroll
- gåten
- kunne
- Kurs
- crack
- Cybersecurity
- sykluser
- mørk
- Mørk lesning
- Dato
- dag
- Dager
- demonstrert
- utvikle
- vanskelig
- direkte
- uensartede
- do
- gjør
- domener
- gjort
- dører
- ned
- dusinvis
- hver enkelt
- tjene
- Elektrisk
- elbiler
- elbil
- Elektronikk
- emalje
- slutt
- Enterprise
- utstyr
- Tilsvarende
- EV
- Selv
- Event
- alle
- alt
- erfaring
- forklarer
- Exploit
- exploits
- utvendig
- forfalskning
- kjent
- langt
- Egenskaper
- slutt~~POS=TRUNC
- Først
- feil
- Til
- Tidligere
- Forward
- fra
- fullt
- funksjoner
- mellomrom
- ga
- få
- få
- gir
- skal
- god
- fikk
- klasse
- Gruppe
- Økende
- hack
- hacks
- HAD
- Hard
- Ha
- haven
- å ha
- he
- hode
- tungt
- her.
- høyt nivå
- Hjemprodukt
- Hosting
- Hvordan
- HTTPS
- stort
- i
- if
- bilde
- viktig
- in
- stadig
- industri
- Initiative
- interessant
- Internet
- intervensjon
- inn
- Investere
- saker
- IT
- IT-bransjen
- DET ER
- jpg
- hopp
- bare
- Hold
- holder
- nøkkel
- Vet
- Labs
- maling
- bærbare datamaskiner
- Siste
- I fjor
- varig
- minst
- mindre
- la
- Tillatelse
- Life
- i likhet med
- linje
- linux
- ll
- lenger
- Se
- så
- Lot
- maskiner
- Mainstream
- gjøre
- administrer
- fikk til
- administrerende
- Produsent
- Produsenter
- Kan..
- midler
- mekanisme
- metall
- micro
- kunne
- bland
- modell
- mer
- mest
- mye
- flere
- må
- FORTELLING
- aldri
- Ny
- ni
- bemerkelsesverdig
- nå
- Antall
- Åpenbare
- of
- off
- Offiser
- on
- gang
- ONE
- bare
- åpen
- drift
- operativsystem
- operativsystemer
- operatør
- or
- Annen
- vår
- utenfor
- outsource
- enn
- overser
- oversikt
- del
- parter
- Past
- Betale
- telefon
- telefoner
- pixel
- plato
- Platon Data Intelligence
- PlatonData
- Point
- mulig
- premie
- problemer
- prosess
- Produkt
- lover
- gir
- gi
- offentlig
- Skyv
- skyv tilbake
- Pwn2Own
- spørsmål
- RE
- Lesning
- virkelig
- Regulering
- eksternt
- krever
- forskning
- forskere
- ansvar
- REST
- begrense
- Resultater
- gjenbruk
- root
- regler
- s
- samme
- så
- sier
- sier
- Skole
- Skoler
- Skjerm
- granskning
- Sekund
- sekunder
- sikkerhet
- sendt
- separat
- Servere
- serverer
- bør
- Vis
- stengt
- Smart
- So
- så langt
- noen
- noe
- kilde
- sprer
- Klemme
- Begynn
- Stasjoner
- Still
- sterk
- slik
- overflaten
- Bytte om
- system
- Systemer
- Ta
- snakker
- Target
- lag
- tech
- Teknologi
- telekom
- Tesla
- Tesla
- enn
- Det
- De
- Kilden
- deres
- Dem
- deretter
- Der.
- Disse
- de
- ting
- tror
- Tredje
- tredjeparter
- denne
- dette året
- selv om?
- trodde
- trussel
- tid
- til
- i dag
- sammen
- tokyo
- verktøy
- berøre
- tøff
- tradisjonelle
- Trend
- prøve
- to
- etter
- dessverre
- unik
- usannsynlig
- til
- Oppdater
- oppdateringer
- us
- vancouver
- vesentlig
- Ve
- kjøretøy
- Kjøretøy
- leverandører
- veldig
- Sikkerhetsproblemer
- sårbarhet
- var
- Vei..
- we
- VI VIL
- gikk
- Hva
- Hva er
- når
- hvilken
- mens
- Wi-fi
- gevinster
- trådløs
- med
- uten
- Arbeid
- arbeide sammen
- Verdens
- skrev
- år
- år
- ennå
- Du
- Din
- zephyrnet
- null
- Zero Day
- nulldagers sårbarheter