“Pwn2Own Automotive 2024”: VicOne & ZDI machen ersten Hackathon zur Aufdeckung von Cyberschwachstellen bei vernetzten Fahrzeugen zu großem Erfolg
VicOne und Sponsoren wie Tesla freuen sich über die Entdeckung von 49 einzigartigen Bugs in IVI-Systemen, EV-Ladegeräten, Modems usw. und belohnen Sicherheitsforscher mit insgesamt 1.323.750 USD
Tokio/München, 31. Januar 2024 – VicOne, ein führender Anbieter von Cybersicherheitslösungen für die Automobilindustrie, hat im Rahmen der Automotive World in Tokio (24.-26. Januar 2024) mit “Pwn2Own Automotive 2024” sein erstes Ethical-Hacking-Event ausschließlich für den Automobilsektor veranstaltet, um die Herausforderungen der Cybersicherheit in der Automobilindustrie zu erforschen und zu bewältigen. Die Veranstaltung war der Entdeckung und Behebung digitaler Sicherheitsschwachstellen von vernetzten Autos und damit der Cybersicherheit von Fahrzeugen gewidmet. Sie war ein großer Erfolg. Konkret unternahmen 17 White Hat Hacker-Teams/Einzelpersonen aus 9 Ländern, darunter auch Deutschland, insgesamt über 50 unterschiedliche Hacking-Ansätze in 4 Kategorien: “Tesla”, “In-Vehicle Infotainment (IVI)”, “EV Chargers” und “Operating System” – und zwar entweder remote oder auch vor Ort. Die Teilnehmer kämpften um Bargeld und Preise im Wert von insgesamt 1.323.750 USD. Insgesamt 49 bisher unbekannte Sicherheitslücken (Zero-Day-Schwachstellen) wurden von den Hackathon-Teilnehmern in den drei Veranstaltungstagen entdeckt. Um ihren jeweiligen Hackingversuch zu gewinnen, mussten die Teilnehmer die neu entdeckten Schwachstellen ausnutzen können, um Zielsysteme und -geräte anzugreifen und beliebige Anweisungen auszuführen. Bei der Veranstaltung ging es jedoch nicht nur um Prestige und den Wettbewerb zwischen den besten White Hat Hackern der Szene, sondern auch um die Zusammenarbeit innerhalb der Automobilindustrie und mit externen IT-Cybersecurity-Experten, um die gesamte Branche sicherer zu machen.
VicOne’s Mutterkonzern Trend Micro™, ein weltweit führendes Unternehmen für Cybersicherheit, hat das Event im Rahmen seiner Zero Day Initiative™ (ZDI), dem weltweit größten herstellerunabhängigen Bug-Bounty-Programm, mit ausgerichtet. Der Elektrofahrzeughersteller Tesla, Hauptsponsor der Veranstaltung, hat dabei seine eigenen Produkte zur Verfügung und auf den Prüfstand gestellt, darunter ein Modem, ein Infotainmentsystem und ein Model Y-Fahrzeug. Teilgenommen haben Einzel-Hacker und Hacking Teams aus Ländern wie Vietnam, USA und Japan, aber auch aus Großbritannien, Ungarn, Holland, Frankreich und Deutschland. Aus Deutschland beteiligten sich beispielweise das Team Tortuga (remote) und das Team von fuzzware.io, die vor Ort ihre Hacks durchführten.
Die Ethical Hacker von fuzzware.io haben den „Sony XAV-AX5500“ Digitale Medien Empfänger und das „Alpine Halo9 iLX-F509“ Autoradio in der Kategorie In-Vehicle Infotainment (IVI), sowie die Ladestationen „ChargePoint Home Flex“, „Autel MaxiCharger AC Wallbox Commercial“ und „EMPORIA EV Charger Level 2“ nebst der „Phoenix Contact CHARX SEC-3100“ Ladesteuerung in der Kategorie Ladegeräte für Elektrofahrzeuge erfolgreich ins Visier genommen. Mit gleich sechs Hacking-Attempts waren sie unter den fleißigsten Hackathon-Teilnehmern. Das Team Tortuga überprüfte ebenfalls die „ChargePoint Home Flex“ Ladestation in der Kategorie Ladegeräte für Elektrofahrzeuge auf mögliche Sicherheitslücken. Mit einem Gesamtgewinn von 177.500 USD hat das deutsche Team fuzzware.io einen sehr guten zweiten Platz belegt und musste sich nur dem Siegerteam Synacktiv aus Frankreich mit einem Gesamtgewinn von 450.000 USD geschlagen geben, das nun zusätzlich zum Gesamtsieg auch den Titel “Master of Pwn” trägt.
Die multinationale Veranstaltung diente aber auch dazu, die Automobilindustrie mit der Cybersicherheitsbranche zu verbinden und zu vernetzen. Hacking-Events wie dieses sind entscheidend, um die globale Automobilindustrie auf die sich entwickelnde Bedrohungslandschaft vorzubereiten. So wurden etwa im laufenden Wettbewerb vor Ort auch Angriffszenarien gezeigt, die die Bedeutung der rechtzeitigen Entdeckung von Cybersicherheits-Schwachstellen unterstreichen und die potenziellen Bedrohungen aufzeigen, die entstehen können, wenn Sicherheitslücken nicht umgehend behoben werden. Die frühzeitige Erkennung von Schwachstellen und deren Weitergabe an die Anbieter, damit diese Gegenmaßnahmen ergreifen können, ist in erster Linie aus Sicherheits- und Kostengründen wichtig. Die teilnehmenden Unternehmen konnten durch das Aufdecken von Schwachstellen in ihren eigenen Produkten Erkenntnisse darüber gewinnen, wie sie sicherere und zuverlässigere Produkte entwickeln können. Die im Rahmen dieses Wettbewerbs entdeckten Zero-Day-Schwachstellen werden den jeweiligen Anbietern gemeldet, damit diese weitere Maßnahmen zu deren Behebung ergreifen können. Einzelheiten zu den Schwachstellen werden je nach ihrem Status bzw. Gefahrenpotenzial 120 Tage oder später nach Abschluss des Wettbewerbs bekannt gegeben. Die Veranstaltung zeigte den neuesten Stand der Sicherheitsforschung und der Hacking-Ansätze auf und ist daher zumindest indirekt relevant für geplante staatliche und industrieinterne Sicherheitsmaßnahme und Regulierungen, etwa in der EU.
“Durch die ständigen Innovationen in der Automobilindustrie ist das Auto nicht nur ein traditionelles Fortbewegungsmittel, sondern bietet auch eine völlig neue Mobilität und einen neuen Lebensraum. In einer Zeit, in der unser Leben und unsere Mobilität durch das Internet immer enger miteinander verbunden sind, ist die Cybersicherheit von größter Bedeutung für die wirtschaftliche und physische Sicherheit der Menschen, weshalb es unerlässlich ist, Sicherheitsschwachstellen in Systemen zu erkennen und zu beheben, bevor böswillige Angreifer sie ausnutzen können. Pwn2Own Automotive 2024 ist einer der Ansätze von VicOne, sein langjähriges Cybersicherheits-Know-how auf die Automobilindustrie zu übertragen”, so Max Cheng, CEO von VicOne. “Wir freuen uns, dass die Zahl der Anmeldungen unsere Erwartungen weit übertroffen hat. Dies war ein sehr erfolgreicher Beweis dafür, dass wir bei der Entdeckung von Zero-Day-Schwachstellen in der Automobilindustrie und beim Schutz vor Cyberangriffen dank des Engagements und des Fachwissens unserer Teilnehmer sowie der großartigen Arbeit unserer eigenen Sicherheitsforscher eine Vorreiterrolle spielen. Wir möchten uns bei allen bedanken, die an dieser Veranstaltung teilgenommen und den Geist der Sicherheitsforschung und Innovation geteilt haben. Dies ist kein einmaliges Event. VicOne wird diese Veranstaltung auch weiterhin ausrichten, und ich hoffe, dass wir uns alle 2025 beim zweiten Pwn2Own Automotive Tokyo wiedersehen werden.”
“Seit 2007 ist Pwn2Own der weltweit größte Hacking-Wettbewerb, bei dem die besten Sicherheitsforscher der Welt ausgezeichnet werden, die die anspruchsvollsten IT-Systeme dieser Welt angreifen und Zero-Day-Schwachstellen entdecken können. Während frühere Wettbewerbe ein breites Spektrum an Bereichen abdeckten, war der diesjährige Hackathon das erste Pwn2Own Event, das sich voll auf Automobile konzentrierte. Die Entdeckung von 49 neuen, unbekannten Cyberschwachstellen und die Möglichkeit, eine Gemeinschaft von Automobilherstellern und erstklassigen Sicherheitsforschern zusammenzubringen, um neue und wertvolle Erkenntnisse über die Cybersicherheit im Automobilbereich auszutauschen, ist von entscheidender Bedeutung für die Fähigkeit der globalen Automobilindustrie, sich auf die sich entwickelnden Bedrohungen vorzubereiten”, erklärt Brian Gorenc, VP of Threat Research bei der VicOne-Muttergesellschaft Trend Micro und verantwortlich für das ZDI-Programm.
Weitere Informationen über Pwn2Own Automotive und künftige Pwn2Own-Hacking-Events erhalten Sie über die Social Media Accounts sowie Blogbeiträge von VicOne (LinkedIn, X, blog) und ZDI (LinkedIn, X, blog).
Bildmaterial von dem Event finden Sie unter: https://www.gcpr.de/presseraum/vicone/
Über VicOne:
Mit der Vision, die Fahrzeuge von morgen zu sichern, bietet VicOne ein breites Portfolio an Cybersicherheitssoftware und -dienstleistungen für die Automobilindustrie. Die Lösungen von VicOne wurden speziell für die strengen Anforderungen von Automobilherstellern entwickelt und sind so konzipiert, dass sie die speziellen Anforderungen moderner Fahrzeuge erfüllen. Als Tochterunternehmen von Trend Micro stützt sich VicOne auf eine solide Grundlage im Bereich der Cybersicherheit, die aus der über 30-jährigen Erfahrung von Trend Micro in der Branche resultiert. VicOne bietet beispiellosen Schutz für die Automobilindustrie und fundierte Kenntnisse in Sicherheitsbelangen, die es unseren Kunden ermöglichen, sichere und intelligente Fahrzeuge zu bauen. Weitere Informationen finden Sie unter vicone.com.
Pressekontakt VicOne in Europa:
GlobalCom PR-Network GmbH
Martin Uffmann / Slavena Radeva
martin@gcpr.net / slavena@gcpr.net
Tel.: +49 (0)89 360 363-41 / -50