01.02.2024 • News

„Pwn2Own Automotive 2024“: Hackathon von VicOne & ZDI

VicOne & ZDI haben einen erfolgreichen Hackathon zur Aufdeckung von Cyberschwachstellen bei vernetzten Fahrzeugen organisiert.

Preisverleihung an das siegreiche Synacktiv-Team. Bild: VicOne
Preisverleihung an das siegreiche Synacktiv-Team. Bild: VicOne

VicOne hat mit „Pwn2Own Automotive 2024“ sein erstes Ethical-Hacking-Event ausschließlich für den Automobilsektor veranstaltet, um die Herausforderungen der Cybersicherheit in der Automobilindustrie zu erforschen und zu bewältigen. Die Veranstaltung war der Entdeckung und Behebung digitaler Sicherheitsschwachstellen von vernetzten Autos und damit der Cybersicherheit von Fahrzeugen gewidmet. Sie war ein großer Erfolg.

Konkret unternahmen 17 White-Hat-Hacker-Teams/Einzelpersonen aus neun Ländern, darunter auch Deutschland, insgesamt über 50 unterschiedliche Hacking-Ansätze in vier Kategorien: „Tesla“, „In-Vehicle Infotainment (IVI)“, „EV Chargers“ und „Operating System“ – und zwar entweder remote oder auch vor Ort. Die Teilnehmer kämpften um Bargeld und Preise im Wert von insgesamt 1.323.750 USD. Insgesamt 49 bisher unbekannte Sicherheitslücken (Zero-Day-Schwachstellen) wurden von den Hackathon-Teilnehmern in den drei Veranstaltungstagen entdeckt. Um ihren jeweiligen Hackingversuch zu gewinnen, mussten die Teilnehmer die neu entdeckten Schwachstellen ausnutzen können, um Zielsysteme und -geräte anzugreifen und beliebige Anweisungen auszuführen. Bei der Veranstaltung ging es jedoch nicht nur um Prestige und den Wettbewerb zwischen den besten White Hat Hackern der Szene, sondern auch um die Zusammenarbeit innerhalb der Automobilindustrie und mit externen IT-Cybersecurity-Experten, um die gesamte Branche sicherer zu machen.

VicOne’s Mutterkonzern Trend Micro hat das Event anlässlich seiner Zero Day Initiative (ZDI), dem weltweit größten herstellerunabhängigen Bug-Bounty-Programm, mit ausgerichtet. Der Elektrofahrzeughersteller Tesla, Hauptsponsor der Veranstaltung, hat dabei seine eigenen Produkte zur Verfügung und auf den Prüfstand gestellt, darunter ein Modem, ein Infotainmentsystem und ein Model-Y-Fahrzeug. Teilgenommen haben Einzel-Hacker und Hacking-Teams aus Ländern wie Vietnam, USA und Japan, aber auch aus Großbritannien, Ungarn, Holland, Frankreich und Deutschland. Aus Deutschland beteiligten sich beispielsweise das Team Tortuga (remote) und das Team von fuzzware.io, die vor Ort ihre Hacks durchführten.

Die Ethical Hacker von fuzzware.io haben den „Sony XAV-AX5500“ Digitale Medien Empfänger und das „Alpine Halo9 iLX-F509“ Autoradio in der Kategorie In-Vehicle Infotainment (IVI), sowie die Ladestationen „ChargePoint Home Flex“, „Autel MaxiCharger AC Wallbox Commercial“ und „Emporia EV Charger Level 2“ nebst der „Phoenix Contact CHARX SEC-3100“ Ladesteuerung in der Kategorie Ladegeräte für Elektrofahrzeuge erfolgreich ins Visier genommen. Mit gleich sechs Hacking-Attempts waren sie unter den fleißigsten Hackathon-Teilnehmern. Das Team Tortuga überprüfte ebenfalls die „ChargePoint Home Flex“ Ladestation in der Kategorie Ladegeräte für Elektrofahrzeuge auf mögliche Sicherheitslücken. Mit einem Gesamtgewinn von 177.500 US-Dollar hat das deutsche Team fuzzware.io einen sehr guten zweiten Platz belegt und musste sich nur dem Siegerteam Synacktiv aus Frankreich mit einem Gesamtgewinn von 450.000 US-Dollar geschlagen geben, das nun zusätzlich zum Gesamtsieg auch den Titel „Master of Pwn“ trägt.

Die multinationale Veranstaltung diente aber auch dazu, die Automobilindustrie mit der Cybersicherheitsbranche zu verbinden und zu vernetzen. Hacking-Events wie dieses sind entscheidend, um die globale Automobilindustrie auf die sich entwickelnde Bedrohungslandschaft vorzubereiten. So wurden etwa im laufenden Wettbewerb vor Ort auch Angriffsszenarien gezeigt, die die Bedeutung der rechtzeitigen Entdeckung von Cybersicherheitsschwachstellen unterstreichen und die potenziellen Bedrohungen aufzeigen, die entstehen können, wenn Sicherheitslücken nicht umgehend behoben werden. Die frühzeitige Erkennung von Schwachstellen und deren Weitergabe an die Anbieter, damit diese Gegenmaßnahmen ergreifen können, ist in erster Linie aus Sicherheits- und Kostengründen wichtig.

Business Partner

VicOne Inc.

Parkring 29
85748 Garching
Deutschland

Kontakt zum Business Partner







Meist gelesen