Vernetzte Autos als Hacker-Zielscheibe

VicOne, Anbieter von Cybersicherheitslösungen für die Automobilindustrie, veranstaltete auf der Automotive World in Tokio Ende Jänner sein erstes Ethical-Hacking-Event „Pwn2Own Automotive 2024“. Ziel war es, die Herausforderungen der Cybersicherheit in der Automobilindustrie zu erforschen und zu bewältigen. Die Veranstaltung war ein großer Erfolg. Konkret unternahmen 17 White Hat Hacker-Teams bzw. Einzelpersonen aus neun Ländern, darunter auch Deutschland, insgesamt über 50 unterschiedliche Hacking-Ansätze in vier Kategorien: "Tesla", "In-Vehicle Infotainment (IVI)", "EV Chargers" und "Operating System". Die Teilnehmer kämpften um Bargeld und Preise im Wert von insgesamt 1.323.750 USD. Das besorgniserregende Ergebnis: Insgesamt 49 bisher unbekannte Sicherheitslücken (Zero-Day-Schwachstellen) wurden von den Hackathon-Teilnehmern in den drei Veranstaltungstagen entdeckt. Um ihren jeweiligen Hackingversuch zu gewinnen, mussten die Teilnehmer die neu entdeckten Schwachstellen ausnutzen können, um Zielsysteme und -geräte anzugreifen und beliebige Anweisungen auszuführen.

Bei der Veranstaltung ging es jedoch nicht nur um Prestige und den Wettbewerb zwischen den besten White Hat Hackern der Szene, sondern auch um die Zusammenarbeit innerhalb der Automobilindustrie und mit externen IT-Cybersecurity-Experten, um die gesamte Branche sicherer zu machen. Der Elektrofahrzeughersteller Tesla, Hauptsponsor der Veranstaltung, stellte dabei seine eigenen Produkte zur Verfügung und auf den Prüfstand, darunter ein Modem, ein Infotainmentsystem und ein Model Y-Fahrzeug. Die teilnehmenden Hacker stammten aus Ländern wie Vietnam, USA und Japan, aber auch aus Großbritannien, Ungarn, Holland, Frankreich und Deutschland und führten ihre Attacken teils remote und teils vor Ort durch. Aus Deutschland beteiligten sich beispielweise das Team Tortuga (remote) und das Team von fuzzware.io, die vor Ort ihre Hacks durchführten.

Die Ethical Hacker von fuzzware.io haben den „Sony XAV-AX5500“ Digitale Medien Empfänger und das „Alpine Halo9 iLX-F509“ Autoradio in der Kategorie In-Vehicle Infotainment (IVI), sowie die Ladestationen „ChargePoint Home Flex“, „Autel MaxiCharger AC Wallbox Commercial“ und „EMPORIA EV Charger Level 2“ nebst der „Phoenix Contact CHARX SEC-3100“ Ladesteuerung in der Kategorie Ladegeräte für Elektrofahrzeuge erfolgreich ins Visier genommen. Mit gleich sechs Hacking-Attempts waren sie unter den fleißigsten Hackathon-Teilnehmern. Das Team Tortuga überprüfte ebenfalls die „ChargePoint Home Flex“ Ladestation in der Kategorie Ladegeräte für Elektrofahrzeuge auf mögliche Sicherheitslücken. Mit einem Gesamtgewinn von 177.500 US-Dollar belegte das deutsche Team fuzzware.io einen sehr guten zweiten Platz und musste sich nur dem Siegerteam Synacktiv aus Frankreich mit einem Gesamtgewinn von 450.000 US-Dollar geschlagen geben, das nun zusätzlich zum Gesamtsieg auch den Titel "Master of Pwn" trägt. Die multinationale Veranstaltung diente dazu, die Automobilindustrie mit der Cybersicherheitsbranche zu verbinden und zu vernetzen sowie potenzielle Bedrohungen aufzuzeigen.