Pwn2Own Automotive 2024: Max Cheng (ganz links), CEO von VicOne, und Dustin Childs (ganz rechts), Head of Threat Awareness beim ZDI, bei der Verleihung des Titels "Master of Pwn" an das siegreiche Synacktiv-Team (Mitte)
© VicOne | Zoom

Vernetzte Fahrzeuge Sicherheitslücken: Hackathon deckt Cyberschwachstellen auf

(Thema: Cyber Sicherheit im Auto)  "Pwn2Own Automotive 2024": VicOne & ZDI machen ersten Hackathon zur Aufdeckung von Cyberschwachstellen bei vernetzten Fahrzeugen zu großem Erfolg.

Automotive World in Tokio:  Grosser Erfolg für Cybersicherheitslösung von VicOne


VicOne und Sponsoren wie Tesla freuen sich über die Entdeckung von 49 einzigartigen Bugs in IVI-Systemen, EV-Ladegeräten, Modems usw. und belohnen Sicherheitsforscher mit insgesamt 1.323.750 US Dollar.

VicOne, ein führender Anbieter von Cybersicherheitslösungen für die Automobilindustrie, hat im Rahmen der Automotive World in Tokio (24.-26. Januar 2024) mit "Pwn2Own Automotive 2024" sein erstes Ethical-Hacking-Event ausschließlich für den Automobilsektor veranstaltet, um die Herausforderungen der Cybersicherheit in der Automobilindustrie zu erforschen und zu bewältigen. Die Veranstaltung war der Entdeckung und Behebung digitaler Sicherheitsschwachstellen von vernetzten Autos und damit der Cybersicherheit von Fahrzeugen gewidmet. Sie war ein großer Erfolg.

17 White Hat Hacker-Teams / Personen unternahmen über 50 Hacking-Ansätze in 4 Kategorien


"Tesla", "In-Vehicle Infotainment (IVI)", "EV Chargers" und "Operating System" - und zwar entweder remote oder auch vor Ort. Die Teilnehmer kämpften um Bargeld und Preise im Wert von insgesamt 1.323.750 USD. Insgesamt 49 bisher unbekannte Sicherheitslücken (Zero-Day-Schwachstellen) wurden von den Hackathon-Teilnehmern in den drei Veranstaltungstagen entdeckt. Um ihren jeweiligen Hackingversuch zu gewinnen, mussten die Teilnehmer die neu entdeckten Schwachstellen ausnutzen können, um Zielsysteme und -geräte anzugreifen und beliebige Anweisungen auszuführen. Bei der Veranstaltung ging es jedoch nicht nur um Prestige und den Wettbewerb zwischen den besten White Hat Hackern der Szene, sondern auch um die Zusammenarbeit innerhalb der Automobilindustrie und mit externen IT-Cybersecurity-Experten, um die gesamte Branche sicherer zu machen.

VicOne's Mutterkonzern Trend Micro(TM), ein weltweit führendes Unternehmen für Cybersicherheit, hat das Event im Rahmen seiner Zero Day Initiative (TM) (ZDI), dem weltweit größten herstellerunabhängigen Bug-Bounty-Programm, mit ausgerichtet. Der Elektrofahrzeughersteller Tesla, Hauptsponsor der Veranstaltung, hat dabei seine eigenen Produkte zur Verfügung und auf den Prüfstand gestellt, darunter ein Modem, ein Infotainmentsystem und ein Model Y-Fahrzeug. Teilgenommen haben Einzel-Hacker und Hacking Teams aus Ländern wie Vietnam, USA und Japan, aber auch aus Großbritannien, Ungarn, Holland, Frankreich und Deutschland. Aus Deutschland beteiligten sich beispielweise das Team Tortuga (remote) und das Team von fuzzware.io, die vor Ort ihre Hacks durchführten.

fuzzware.io  lieferte 6 Hacking-Attempts  und holte 2.Preis mit 177.500 US Dollar

Die Ethical Hacker von fuzzware.io haben den "Sony XAV-AX5500" Digitale Medien Empfänger und das "Alpine Halo9 iLX-F509" Autoradio in der Kategorie In-Vehicle Infotainment (IVI), sowie die Ladestationen "ChargePoint Home Flex", "Autel MaxiCharger AC Wallbox Commercial" und "EMPORIA EV Charger Level 2" nebst der "Phoenix Contact CHARX SEC-3100" Ladesteuerung in der Kategorie Ladegeräte für Elektrofahrzeuge erfolgreich ins Visier genommen. Mit gleich sechs Hacking-Attempts waren sie unter den fleißigsten Hackathon-Teilnehmern.

Sieger des Hacker Wettbewerbs ist Synacktiv au Frankreich mit 450.000 US Dollar Preisgeld

Das Team Tortuga überprüfte ebenfalls die "ChargePoint Home Flex" Ladestation in der Kategorie Ladegeräte für Elektrofahrzeuge auf mögliche Sicherheitslücken. Mit einem Gesamtgewinn von 177.500 USD hat das deutsche Team fuzzware.io einen sehr guten zweiten Platz belegt und musste sich nur dem Siegerteam Synacktiv aus Frankreich mit einem Gesamtgewinn von 450.000 USD geschlagen geben, das nun zusätzlich zum Gesamtsieg auch den Titel "Master of Pwn" trägt.

Die multinationale Veranstaltung diente aber auch dazu, die Automobilindustrie mit der Cybersicherheitsbranche zu verbinden und zu vernetzen. Hacking-Events wie dieses sind entscheidend um die globale Automobilindustrie auf die sich entwickelnde Bedrohungslandschaft vorzubereiten. So wurden etwa im laufenden Wettbewerb vor Ort auch Angriffszenarien gezeigt, die die Bedeutung der rechtzeitigen Entdeckung von Cybersicherheits-Schwachstellen unterstreichen und die potenziellen Bedrohungen aufzeigen, die entstehen können, wenn Sicherheitslücken nicht umgehend behoben werden.

Die frühzeitige Erkennung von Schwachstellen und deren Weitergabe an die Anbieter, damit diese Gegenmaßnahmen ergreifen können, ist in erster Linie aus Sicherheits- und Kostengründen wichtig. Die teilnehmenden Unternehmen konnten durch das Aufdecken von Schwachstellen in ihren eigenen Produkten Erkenntnisse darüber gewinnen, wie sie sicherere und zuverlässigere Produkte entwickeln können. Die im Rahmen dieses Wettbewerbs entdeckten Zero-Day-Schwachstellen werden den jeweiligen Anbietern gemeldet, damit diese weitere Maßnahmen zu deren Behebung ergreifen können. Einzelheiten zu den Schwachstellen werden je nach ihrem Status bzw. Gefahrenpotenzial 120 Tage oder später nach Abschluss des Wettbewerbs bekannt gegeben. Die Veranstaltung zeigte den neuesten Stand der Sicherheitsforschung und der Hacking-Ansätze auf und ist daher zumindest indirekt relevant für geplante staatliche und industrieinterne Sicherheitsmaßnahme und Regulierungen, etwa in der EU.

"Durch die ständigen Innovationen in der Automobilindustrie ist das Auto nicht nur ein traditionelles Fortbewegungsmittel, sondern bietet auch eine völlig neue Mobilität und einen neuen Lebensraum. In einer Zeit, in der unser Leben und unsere Mobilität durch das Internet immer enger miteinander verbunden sind, ist die Cybersicherheit von größter Bedeutung für die wirtschaftliche und physische Sicherheit der Menschen, weshalb es unerlässlich ist, Sicherheitsschwachstellen in Systemen zu erkennen und zu beheben, bevor böswillige Angreifer sie ausnutzen können. Pwn2Own Automotive 2024 ist einer der Ansätze von VicOne, sein langjähriges Cybersicherheits-Know-how auf die Automobilindustrie zu übertragen", so Max Cheng, CEO von VicOne. "Wir freuen uns, dass die Zahl der Anmeldungen unsere Erwartungen weit übertroffen hat. Dies war ein sehr erfolgreicher Beweis dafür, dass wir bei der Entdeckung von Zero-Day-Schwachstellen in der Automobilindustrie und beim Schutz vor Cyberangriffen dank des Engagements und des Fachwissens unserer Teilnehmer sowie der großartigen Arbeit unserer eigenen Sicherheitsforscher eine Vorreiterrolle spielen. Wir möchten uns bei allen bedanken, die an dieser Veranstaltung teilgenommen und den Geist der Sicherheitsforschung und Innovation geteilt haben. Dies ist kein einmaliges Event. VicOne wird diese Veranstaltung auch weiterhin ausrichten, und ich hoffe, dass wir uns alle 2025 beim zweiten Pwn2Own Automotive Tokyo wiedersehen werden."

"Seit 2007 ist Pwn2Own der weltweit größte Hacking-Wettbewerb, bei dem die besten Sicherheitsforscher der Welt ausgezeichnet werden, die die anspruchsvollsten IT-Systeme dieser Welt angreifen und Zero-Day-Schwachstellen entdecken können. Während frühere Wettbewerbe ein breites Spektrum an Bereichen abdeckten, war der diesjährige Hackathon das erste Pwn2Own Event, das sich voll auf Automobile konzentrierte. Die Entdeckung von 49 neuen, unbekannten Cyberschwachstellen und die Möglichkeit, eine Gemeinschaft von Automobilherstellern und erstklassigen Sicherheitsforschern zusammenzubringen, um neue und wertvolle Erkenntnisse über die Cybersicherheit im Automobilbereich auszutauschen, ist von entscheidender Bedeutung für die Fähigkeit der globalen Automobilindustrie, sich auf die sich entwickelnden Bedrohungen vorzubereiten", erklärt Brian Gorenc, VP of Threat Research bei der VicOne-Muttergesellschaft Trend Micro und verantwortlich für das ZDI-Programm.

Auch interessant:
Skoda trainiert mit über 1100 Roboter in neuen Schulungseinrichtungen über 300 Mitarbeiter
Internet-König Knossi mit dem Adventure Ticket in Las Vegas am Weg zum Football-Highlight 2024
20.BMW Art Car Weltpremiere Mai 2024: Erste Designstudien für Julie Mehretus BMW Art Car

VicOne