ภายในเวลาเพียงสองวันที่งาน Pwn2Own 2024 ในโตเกียว นักวิจัยได้บุกรุกเครื่องชาร์จรถยนต์ไฟฟ้า ระบบปฏิบัติการ ส่วนประกอบของ Tesla และค้นพบช่องโหว่แบบ Zero-day หลายสิบรายการตลอดเส้นทาง
Pwn2Own เมื่อปีที่แล้วในแวนคูเวอร์เล่นหูเล่นตากับรถยนต์เป็นพื้นที่โจมตี โดยเพิ่ม Teslas เข้าไปร่วมกับการแข่งขันเพื่อแฮ็กเซิร์ฟเวอร์ แอปพลิเคชันระดับองค์กร เบราว์เซอร์ และอื่นๆ แบบดั้งเดิม แต่งานในปีนี้ดำเนินไปอย่างเต็มตัวและผลลัพธ์ก็น่ากระจ่างแจ้ง ในวันแรก เพียงอย่างเดียว ผู้เข้าแข่งขันสาธิตซีโรเดย์ที่ไม่ซ้ำกัน 24 วัน ทำให้พวกเขาได้รับเงินรางวัล 722,500 ดอลลาร์ วันที่สอง เห็นการหาประโยชน์ใหม่ 20 ครั้ง และวันสุดท้าย วันที่สาม สัญญาว่าจะยังมีอีกเก้าครั้ง
“ยานพาหนะต่างๆ กลายเป็นระบบที่ซับซ้อนมากขึ้นเรื่อยๆ” Dustin Childs หัวหน้าฝ่ายการรับรู้ภัยคุกคามของ Zero Day Initiative (ZDI) ของ Trend Micro ซึ่งเป็นกลุ่มที่จัดงานกล่าว “ในอดีตยังไม่มีการวิจัยมากนักเกี่ยวกับเรื่องนี้ และจากประสบการณ์ของเรา การขาดการตรวจสอบจากภายนอกหมายความว่าอาจมีปัญหาด้านความปลอดภัยมากมาย”
การแฮ็กเข้าสู่ Teslas
เหตุการณ์ที่ได้รับความสนใจพาดหัวข่าวในงาน Pwn2Own เมื่อปีที่แล้วคือเมื่อทีมงานจาก Synacktiv ในเมืองตูลูสจัดการได้ ทำลาย Tesla Model 3 ได้ในเวลาไม่ถึงสองนาที.
ในปีนี้ Synacktiv กลับมาพร้อมกับใช้ประโยชน์จากสถานีชาร์จ Ubiquiti Connect และ JuiceBox 40 Smart EV, ChargePoint Home Flex (เครื่องมือชาร์จ EV ที่บ้าน) และ Automotive Grade Linux ที่อธิบายได้ในตัว ความสำเร็จที่โดดเด่นที่สุดของบริษัทคือการหาช่องโหว่ 100,000 จุดต่อโมเด็มของ Tesla และจุดบกพร่อง XNUMX จุดต่อระบบสาระบันเทิง โดยแต่ละจุดจะได้รับรางวัลเงินสด XNUMX ดอลลาร์
ตามกฎของงาน ผู้ขายมีเวลา 90 วันในการแก้ไขข้อบกพร่องด้านความปลอดภัยก่อนที่จะเปิดเผยต่อสาธารณะ แต่ในอีเมลจากโตเกียว แครกเกอร์ Synacktiv ได้ให้ Dark Reading ทราบภาพรวมระดับสูงว่าการโจมตีมีลักษณะอย่างไร:
“การโจมตีถูกส่งจากเสาอากาศ GSM เลียนแบบ BTS ปลอม (ผู้ให้บริการโทรคมนาคมปลอม) ช่องโหว่แรกทำให้สามารถเข้าถึงรูทการ์ดโมเด็มของ Tesla ได้” พวกเขาเขียน “การโจมตีครั้งที่สองเป็นการกระโดดจากโมเด็มไปยังระบบสาระบันเทิง และการข้ามคุณสมบัติด้านความปลอดภัยในกระบวนการนี้ ทำให้สามารถเข้าถึงอุปกรณ์ต่างๆ บนรถได้ เช่น ไฟหน้า ที่ปัดน้ำฝน หรือเพื่อเปิดท้ายรถและประตู”
Renaud Feil ซีอีโอของ Synacktiv กล่าวว่า Teslas “มันเป็นเหรียญสองด้าน เป็นรถที่มีพื้นผิวการโจมตีขนาดใหญ่ ทุกอย่างเป็นไอทีใน Tesla แต่พวกเขาก็มีทีมรักษาความปลอดภัยที่แข็งแกร่งและพวกเขาก็พยายามให้ความสำคัญกับความปลอดภัยเป็นอย่างมาก ดังนั้นมันจึงเป็นเป้าหมายใหญ่ แต่ก็เป็นเป้าหมายที่ยาก”
รถยนต์สมัยใหม่ที่ทางแยก
“พื้นผิวการโจมตีของรถมีการเติบโต และน่าสนใจมากขึ้นเรื่อยๆ เนื่องจากผู้ผลิตกำลังเพิ่มการเชื่อมต่อไร้สาย และแอปพลิเคชันที่ช่วยให้คุณเข้าถึงรถจากระยะไกลผ่านทางอินเทอร์เน็ต” Feil กล่าว
Ken Tindell ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Canis Automotive Labs กล่าวถึงประเด็นที่สอง “สิ่งที่น่าสนใจจริงๆ คือการที่คอมพิวเตอร์กระแสหลักนำกลับมาใช้ใหม่จำนวนมากในรถยนต์ ซึ่งนำปัญหาด้านความปลอดภัยของคอมพิวเตอร์กระแสหลักมาสู่รถยนต์”
“รถยนต์มีสิ่งของสองโลกนี้มาเป็นเวลาอย่างน้อย 20 ปีแล้ว” เขาอธิบาย ประการแรก “คุณมีคอมพิวเตอร์กระแสหลัก (ทำได้ไม่ดีนัก) ในระบบสาระบันเทิง เราพบสิ่งนี้ในรถยนต์มาระยะหนึ่งแล้ว และเป็นแหล่งที่มาของช่องโหว่จำนวนมาก — ในบลูทูธ, Wi-Fi และอื่นๆ จากนั้นคุณก็จะมีอุปกรณ์อิเล็กทรอนิกส์ควบคุม และทั้งสองมีโดเมนที่แยกจากกันมาก แน่นอนว่าคุณจะพบปัญหาเมื่อระบบสาระบันเทิงนั้น เริ่มสัมผัส CAN บัส นั่นหมายถึงเบรก ไฟหน้า และอะไรประมาณนั้น”
เป็นปริศนาที่ผู้ปฏิบัติงาน OT ควรจะคุ้นเคย: การจัดการอุปกรณ์ไอทีควบคู่ไปกับเครื่องจักรที่มีความสำคัญต่อความปลอดภัย ในลักษณะที่ทั้งสองสามารถทำงานร่วมกันได้โดยไม่กระจายความรำคาญของสิ่งแรกไปยังสิ่งหลัง และแน่นอนว่าวงจรชีวิตผลิตภัณฑ์ที่แตกต่างกันระหว่างไอทีและเทคโนโลยี OT — รถยนต์ที่มีอายุการใช้งานยาวนานกว่าแล็ปท็อป — ซึ่งทำหน้าที่เพียงทำให้ช่องว่างยุ่งยากน้อยลงเท่านั้น
ความปลอดภัยของรถยนต์อาจมีหน้าตาเป็นอย่างไร
สำหรับภาพว่าความปลอดภัยทางไซเบอร์ของยานพาหนะกำลังดำเนินไปอย่างไร เราอาจเริ่มต้นที่ระบบสาระบันเทิง ซึ่งเป็นพื้นที่การโจมตีที่ใหญ่ที่สุดและชัดเจนที่สุดในรถยนต์ในปัจจุบัน ที่นี่ มีโรงเรียนแห่งความคิดสองแห่งที่กำลังพัฒนา
“ประการหนึ่งคือ: อย่าเพิ่งกังวลไป เพราะคุณจะไม่มีวันคิดถึงวงจรผลิตภัณฑ์ในรถยนต์อีกต่อไป Apple CarPlay และ Android Auto — นั่นคือหนทางข้างหน้า ดังนั้นผู้ผลิตรถยนต์จึงเตรียมหน้าจอ จากนั้นโทรศัพท์ของคุณก็จะจัดหาอุปกรณ์สาระบันเทิงมาให้” Tindell อธิบาย “ผมคิดว่านั่นเป็นแนวทางที่ดี เพราะเห็นได้ชัดว่าโทรศัพท์ของคุณเป็นความรับผิดชอบของคุณ Apple คอยอัปเดตอยู่เสมอ แพตช์ทั้งหมดแล้ว จากนั้นรถของคุณก็แค่จัดเตรียมหน้าจอ”
“แนวคิดอีกประการหนึ่งคือการปล่อยให้บริษัทใหญ่ๆ เหล่านี้ควบคุมการทำงานหลักๆ ของรถยนต์ของคุณ อนุญาตระบบปฏิบัติการจาก Google และตอนนี้ก็เทียบเท่ากับ Google CarPlay แต่ต่อเข้ากับรถยนต์โดยตรง” เขากล่าว ด้วยบริษัทอย่าง Google ที่รับผิดชอบ “มีกลไกการอัปเดต เช่นเดียวกับการอัปเดตโทรศัพท์ Pixel ของพวกเขา คำถามคือในอีก 10 ปีข้างหน้า คุณจะยังคงได้รับการอัปเดตสำหรับรถของคุณเมื่อ Google รู้สึกเบื่อและพยายามจะปิดตัวลงหรือไม่
แม้ว่าผู้ผลิตจะสามารถบีบส่วนหนึ่งของพื้นผิวการโจมตี (ไม่น่าเป็นไปได้) หรือมอบหมายความรับผิดชอบในการดูแลมันให้กับบุคคลที่สาม (ไม่สมบูรณ์) แต่ Pwn2Own 2024 ได้แสดงให้เห็นว่าพวกเขายังคงมีปัญหาอีกมากมายที่ยังต้องคำนึงถึง: EV อุปกรณ์ชาร์จสำหรับโมเด็ม ระบบปฏิบัติการ และอื่นๆ
อุตสาหกรรมต้องไปที่ไหน
สำหรับ Tindell สิ่งที่สำคัญจริงๆ คือการป้องกันไม่ให้ไฟร์วอลล์คอมพิวเตอร์กระแสหลักออกจากระบบควบคุม เพื่อไม่ให้เกิดอุปสรรค “น่าเสียดายที่จุด Choke Point บางส่วนยังไม่ได้รับการพัฒนาอย่างดีนัก และคุณสามารถถอดรหัสได้เมื่อสิ้นสุดการโจมตีต่อเนื่องกัน” เขากล่าวเสริม
“ฉันคิดว่าพวกเขารู้ว่าต้องทำอะไร” Feil จาก Synacktiv กล่าว “เป็นกระบวนการเดียวกับที่ใช้กับอุตสาหกรรมไอทีที่เหลือ: ลงทุนในความปลอดภัยทางไซเบอร์ ทำการตรวจสอบ แฮ็กข้อมูลของคุณจนกว่าจะแฮ็กได้ยาก”
เขาเชื่อว่าการทำให้ผู้ผลิตไปถึงจุดนั้นอาจต้องมีการแทรกแซงจากภายนอก “อุตสาหกรรมสามารถผลักดันกลับเพื่อจำกัดกฎระเบียบได้” Feil กล่าว “เรื่องราวของพวกเขาคือ เรากำลังมีช่วงเวลาที่ยากลำบาก เพราะทุกคนขอให้เราเปลี่ยนมาใช้รถยนต์ไฟฟ้า และอาจส่งผลกระทบต่อผลประกอบการของเราอย่างมาก แต่พวกเขาต้องแสดงให้เห็นว่าพวกเขากำลังทำอะไรบางอย่างในเรื่องความปลอดภัยทางไซเบอร์”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 000
- 10
- 20
- 2024
- 24
- 40
- 500
- 7
- a
- สามารถ
- เข้า
- ลงชื่อเข้าใช้
- ความสำเร็จ
- เพิ่ม
- เพิ่ม
- มีผลต่อ
- กับ
- ทั้งหมด
- อนุญาต
- อนุญาตให้
- คนเดียว
- ตาม
- คู่ขนาน
- ด้วย
- an
- และ
- หุ่นยนต์
- Apple
- การใช้งาน
- มีผลบังคับใช้
- เข้าใกล้
- เป็น
- AREA
- AS
- ขอให้
- At
- โจมตี
- การโจมตี
- ความสนใจ
- การตรวจสอบ
- รถยนต์
- ยานยนต์
- ความตระหนัก
- กลับ
- ตาม
- BE
- เพราะ
- สมควร
- รับ
- ก่อน
- เชื่อ
- ระหว่าง
- ใหญ่
- ที่ใหญ่ที่สุด
- บลูทู ธ
- เบื่อ
- ตื๊อ
- ด้านล่าง
- นำ
- เบราว์เซอร์
- แต่
- CAN
- รถ
- บัตร
- รถยนต์
- เงินสด
- ผู้บริหารสูงสุด
- โซ่
- รับผิดชอบ
- การเรียกเก็บเงิน
- หัวหน้า
- ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี
- อย่างเห็นได้ชัด
- เหรียญ
- มา
- บริษัท
- บริษัท
- การแข่งขัน
- ซับซ้อน
- ส่วนประกอบ
- ที่ถูกบุกรุก
- การคำนวณ
- เชื่อมต่อ
- พิจารณา
- ควบคุม
- ปริศนา
- ได้
- คอร์ส
- ร้าว
- cybersecurity
- รอบ
- มืด
- การอ่านที่มืด
- วันที่
- วัน
- วัน
- แสดงให้เห็นถึง
- ที่กำลังพัฒนา
- ยาก
- โดยตรง
- ต่างกัน
- do
- การทำ
- โดเมน
- ทำ
- ประตู
- ลง
- หลายสิบ
- แต่ละ
- รายได้
- ติดตั้งระบบไฟฟ้า
- รถยนต์ไฟฟ้า
- ยานพาหนะไฟฟ้า
- อิเล็กทรอนิกส์
- อีเมล
- ปลาย
- Enterprise
- อุปกรณ์
- เท่ากัน
- EV
- แม้
- เหตุการณ์
- ทุกคน
- ทุกอย่าง
- ประสบการณ์
- อธิบาย
- เอาเปรียบ
- การหาประโยชน์
- ภายนอก
- เทียม
- คุ้นเคย
- ไกล
- คุณสมบัติ
- สุดท้าย
- ชื่อจริง
- ข้อบกพร่อง
- สำหรับ
- อดีต
- ข้างหน้า
- ราคาเริ่มต้นที่
- เต็ม
- ฟังก์ชั่น
- ช่องว่าง
- ให้
- ได้รับ
- ได้รับ
- จะช่วยให้
- ไป
- ดี
- ได้
- เกรด
- บัญชีกลุ่ม
- การเจริญเติบโต
- สับ
- แฮ็ก
- มี
- ยาก
- มี
- ที่พัก
- มี
- he
- หัว
- หนัก
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ระดับสูง
- หน้าแรก
- โฮสติ้ง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- ใหญ่
- i
- if
- ภาพ
- สำคัญ
- in
- ขึ้น
- อุตสาหกรรม
- Initiative
- น่าสนใจ
- อินเทอร์เน็ต
- การแทรกแซง
- เข้าไป
- ลงทุน
- ปัญหา
- IT
- อุตสาหกรรมไอที
- ITS
- jpg
- กระโดด
- เพียงแค่
- เก็บ
- เก็บ
- คีย์
- ทราบ
- ห้องปฏิบัติการ
- ไม่มี
- แล็ปท็อป
- ชื่อสกุล
- ปีที่แล้ว
- ทน
- น้อยที่สุด
- น้อยลง
- ให้
- License
- ชีวิต
- กดไลก์
- Line
- ลินุกซ์
- ll
- อีกต่อไป
- ดู
- มอง
- Lot
- เครื่องจักรกล
- หลัก
- ทำ
- จัดการ
- การจัดการ
- การจัดการ
- ผู้ผลิต
- ผู้ผลิตยา
- อาจ..
- วิธี
- กลไก
- โลหะ
- ไมโคร
- อาจ
- ผสม
- แบบ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- มาก
- หลาย
- ต้อง
- เล่าเรื่อง
- ไม่เคย
- ใหม่
- เก้า
- โดดเด่น
- ตอนนี้
- จำนวน
- ชัดเจน
- of
- ปิด
- เจ้าหน้าที่
- on
- ครั้งเดียว
- ONE
- เพียง
- เปิด
- การดำเนินงาน
- ระบบปฏิบัติการ
- ระบบปฏิบัติการ
- ผู้ประกอบการ
- or
- อื่นๆ
- ของเรา
- ด้านนอก
- ภายนอก
- เกิน
- การกำกับดูแล
- ภาพรวม
- ส่วนหนึ่ง
- คู่กรณี
- อดีต
- ชำระ
- โทรศัพท์
- โทรศัพท์
- พิกเซล
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- เป็นไปได้
- รางวัล
- ปัญหาที่เกิดขึ้น
- กระบวนการ
- ผลิตภัณฑ์
- สัญญา
- ให้
- การให้
- สาธารณชน
- ผลัก
- ดันกลับ
- Pwn2Own
- คำถาม
- RE
- การอ่าน
- จริงๆ
- การควบคุม
- จากระยะไกล
- ต้องการ
- การวิจัย
- นักวิจัย
- ความรับผิดชอบ
- REST
- จำกัด
- ผลสอบ
- นำมาใช้ใหม่
- ราก
- กฎระเบียบ
- s
- เดียวกัน
- เห็น
- กล่าว
- พูดว่า
- โรงเรียน
- โรงเรียน
- จอภาพ
- การพิจารณา
- ที่สอง
- วินาที
- ความปลอดภัย
- ส่ง
- แยก
- เซิร์ฟเวอร์
- ให้บริการอาหาร
- น่า
- โชว์
- ปิด
- สมาร์ท
- So
- จนถึงตอนนี้
- บาง
- บางสิ่งบางอย่าง
- แหล่ง
- การแพร่กระจาย
- บีบ
- เริ่มต้น
- สถานี
- ยังคง
- แข็งแรง
- อย่างเช่น
- พื้นผิว
- สวิตซ์
- ระบบ
- ระบบ
- เอา
- การพูดคุย
- เป้า
- ทีม
- เทคโนโลยี
- เทคโนโลยี
- โทรคมนาคม
- เทสลา
- teslas
- กว่า
- ที่
- พื้นที่
- ที่มา
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- คิด
- ที่สาม
- บุคคลที่สาม
- นี้
- ในปีนี้
- แต่?
- คิดว่า
- การคุกคาม
- เวลา
- ไปยัง
- ในวันนี้
- ร่วมกัน
- โตเกียว
- เครื่องมือ
- แตะ
- ยาก
- แบบดั้งเดิม
- เทรนด์
- ลอง
- สอง
- ภายใต้
- น่าเสียดาย
- เป็นเอกลักษณ์
- ไม่แน่
- จนกระทั่ง
- บันทึก
- การปรับปรุง
- us
- แวนคูเวอร์
- อย่างมากมาย
- Ve
- พาหนะ
- ยานพาหนะ
- ผู้ขาย
- มาก
- ช่องโหว่
- ความอ่อนแอ
- คือ
- ทาง..
- we
- ดี
- ไป
- อะไร
- ความหมายของ
- เมื่อ
- ที่
- ในขณะที่
- Wi-Fi
- เงินที่ได้มา
- ไร้สาย
- กับ
- ไม่มี
- งาน
- ทำงานด้วยกัน
- ของโลก
- เขียน
- ปี
- ปี
- ยัง
- คุณ
- ของคุณ
- ลมทะเล
- เป็นศูนย์
- ศูนย์วัน
- ช่องโหว่แบบ zero-day