Trend Micro-Tochter VicOne gewinnt Tesla als Sponsor des ersten Hacking-Events Pwn2Own Automotiv
Autos, Ladesäulen, Wallboxen zuhause, ja selbst klassische Tankstellen sind vor Cyber-Angriffen nicht sicher. Bevor Cyberkriminelle sie ausnützen, sollen White Hacker auf der Automotiv World in Tokio vernetzte Autos knacken. VicOne, eine Tochter von Trend Micro, lobt Preisgelder von einer Million US-Dollar aus. Es geht auch, aber nicht nur um Fahrzeuge von Tesla.
Tesla Model Y führt aktuell die Statistik des weltweiten Autoverkaufs an - Verbrenner und Elektro zusammen, wohlgemerkt. Ein Tesla-Fahrzeug - wie jedes Elektroauto anderer Hersteller auch - ist ein rollendes Smartphone. Das digitale Hirn bei Tesla basiert auf einem eigenen Linux-Betriebssystem. Jeder Autohersteller nimmt es zum Vorbild eines eigenen "geschlossenen" Betriebssystems. Apple mit seinem iOS hat den Weg gewiesen. Klar ist aber auch: Auch iOS und jedes andere geschlossene Betriebssystem kann gar nicht so abgeschottet werden, dass Dritte kein Zugriff darauf haben und es manipulieren können. Endpoint-Sicherheit ist also mehr denn je auch in der vernetzten Automobilwelt samt Ladeinfrastruktur unabdingbar. Das haben Security-Hersteller längst erkannt. Trend Mirco beispielsweise mit der Gründung der Tochtergesellschaft VicOne.
VicOne bietet ein breites Portfolio an Cybersicherheitssoftware und -dienstleistungen für die Automobilindustrie an. Dazu gehört die Forschung, um intelligente Fahrzeuge auch sicher zu machen. Nicht alle Schwachstellen kann man aus eigener Kraft entdecken. Warum sollte man auch? Denn es gibt schließlich auch die "guten" Hacker, White Hacker, die sie aufdecken. Daher wird VicOne nun Mitveranstalter des allerersten sogenannten Pwn2Own Automotive 2024 Wettbewerbs für White Hacker. Er findet vom 24. bis 26. Januar 2024 im Rahmen der Automotive World in Tokio statt. Wie jetzt bekannt wurde, ist Tesla Hauptsponsor des Wettbewerbs.
Es winken Preisgelder im Gesamtwert von mehr als eine Million US-Dollar und weitere Sachpreise. Die Hacker treten in vier Kategorien an: Tesla, In-Vehicle Infotainment (IVI), Ladegeräte für Elektrofahrzeuge und Betriebssysteme. Ein erfolgreicher Cyberangriff muss eine neu entdeckte Schwachstelle ausnutzen, um den standardmäßigen Pfad eines Programms oder Prozesses in einem vernetzten Fahrzeug so zu verändern, dass beliebige schadhafte Anweisungen ausgeführt werden können.
Die für den Angriff genutzten Schwachstellen müssen bisher unbekannt, unveröffentlicht und/oder ungemeldet sein. ChargePoint, ein führender Anbieter netzwerkbasierter Lösungen zum Aufladen von Elektrofahrzeugen, wird die Hardware für den Pwn2Own Automotive Geräteaufbau bereitstellen. Ingenieure von VicOne werden bei Pwn2Own Automotive vor Ort arbeiten, um bei der Vorbereitung der Zielvorgaben zu helfen, die Wettbewerber zu bewerten und die Ergebnisse der Hacks offenzulegen, sodass die Fehlerbehebungen schnell beginnen und auf reale Produkte bzw. Fahrzeuge angewendet werden können.
Die Anmeldung zum Wettbewerb ist bis zum 18. Januar 2024 möglich und erfordert die Einreichung eines Whitepapers, in dem die Exploit-Kette ("Exploit Chain") und die Ausführungsanweisungen für den eingereichten Wettbewerbsbeitrag beschrieben werden.
Near-Field-Angriff auch auf Zapfsäule
Wer übrigens meint, dass ihn die Hackerangriffe auf die schöne, aber gefährliche neue vernetzte Elektromobilität nichts angehen würde, Tankstellenbetreiber beispielsweise, irrt gewaltig! In Detroit hat sich kürzlich an einer Tankstelle eine sehr lange Warteschlage gebildet, weil es sich schnell herumgesprochen hatte, dass dort kostenlos getankt werden kann. Ein Mann hatte mit einem Smartphone per Bluetooth eine Zapfsäule der Tankstelle gehackt und das Zahlungssystem außer Kraft gesetzt. Sozial wie dieser Hacker war, ließ er die Schwachstelle auch andere Fahrer ausnutzen, die ihre Autos ebenfalls kostenlos befüllen konnten. Bevor es dem Tankstelleninhaber dämmerte, waren schon 800 Gallonen gezapft, der Schaden: Rund 3.000 US-Dollar.