Der Pwn2Own Automotive 2024 Hacker-Wettbewerb begann auf der Auto-Messe Automotive World in Tokio, Japan. In diesem Jahr konzentriert sich der Wettbewerb auf Automotive-Technologien und hat drei Hauptziele: Tesla-In-Vehicle-Infotainment-Systeme, Elektrofahrzeug-Ladegeräte und Autobetriebssysteme.
Während des ersten Tages der Veranstaltung erzielten Sicherheitsforscher bedeutende Durchbrüche, indem sie Schwachstellen in verschiedenen Automobilkomponenten ausnutzten. Das Team von Synacktiv hackte erfolgreich ein Tesla-Modem, indem es drei Zero-Day-Bugs kombinierte. Diese Leistung brachte ihnen 100.000 US-Dollar an Bargeldpreisen ein.
Darüber hinaus nutzte das Team zwei Bug-Ketten, um eine Ubiquiti Connect EV Station und eine JuiceBox 40 Smart EV Charging Station zu kompromittieren und weitere 120.000 US-Dollar zu gewinnen. Obwohl bereits eine dritte Exploit-Kette auf das ChargePoint Home Flex EV Ladegerät abzielte, erhielten die Forscher trotzdem 16.000 US-Dollar in bar.
Viele vollständig gepatchte EV-Ladestationen und Infotainment-Systeme fielen erfolgreichen Hacks während des Wettbewerbs zum Opfer. Insbesondere das NCC Group EDG-Team sicherte sich den zweiten Platz auf der Rangliste, indem es Zero-Day-Schwachstellen im Pioneer DMH-WT7600NEX Infotainment-System und im Phoenix Contact CHARX SEC-3100 EV Ladegerät ausnutzte. Dies brachte ihnen insgesamt 70.000 US-Dollar ein.
Eine interessante Facette des Wettbewerbs ist, dass die Hersteller 90 Tage Zeit haben, um Sicherheitslösungen zu entwickeln und zu veröffentlichen, nachdem die Zero-Day-Schwachstellen ausgenutzt und TrendMicro’s Zero Day Initiative gemeldet wurden. Dies gibt ihnen ausreichend Zeit, um die Probleme zu beheben, bevor sie öffentlich bekannt werden.
Die Teilnehmer des Pwn2Own Automotive 2024 Wettbewerbs konkurrieren um verschiedene Preise, darunter eine Bargeldprämie von 200.000 US-Dollar und ein Tesla-Auto für den besten VCSEC-, Gateway- oder Autopilot-Zero-Day-Exploit. Der Wettbewerb zielt darauf ab, die Grenzen der Automobil-Sicherheit zu erweitern und den kritischen Bedarf an robuster Schutzmaßnahmen in der schnelllebigen Automobilindustrie zu verdeutlichen.
Mit beeindruckenden Ergebnissen am ersten Tag steigt die Spannung für die verbleibenden Tage des Wettbewerbs, um weitere Exploits und Schwachstellen zu entdecken, die diese erfahrenen Sicherheitsforscher aufdecken.
Häufig gestellte Fragen (FAQ):
Frage: Was ist ein Zero-Day-Bug?
Antwort: Ein Zero-Day-Bug ist eine Schwachstelle in einer Software oder einem System, die den Entwicklern oder Herstellern unbekannt ist und somit keine Möglichkeit besteht, diese vor dem Angriff zu beheben.
Frage: Was versteht man unter einem Infotainment-System?
Antwort: Ein Infotainment-System ist ein Unterhaltungs- und Informationsplattform in einem Fahrzeug, das Funktionen wie Navigation, Musikwiedergabe, Kommunikation und vieles mehr bietet.
Frage: Wo können weitere Informationen zum Pwn2Own Automotive 2024 Wettbewerb gefunden werden?
Antwort: Weitere Informationen zum Wettbewerb finden Sie auf der offiziellen Website von Pwn2Own: https://pwn2own.com