Hacking-Wettbewerb Pwn2Own: Teilnehmer kombinieren drei Lücken und knacken Tesla
Beim Pwn2Own Automotive geht es um die Sicherheit von E-Autos, Infotainmentsystemen und Ladesäulen. Ein Team kassiert fast eine halbe Million US-Dollar.
(Bild: Zero Day Initiative)
Die Softwareentwickler für Tesla-Modelle sollten zeitnah Sicherheitsupdates veröffentlichen – schließlich haben die Teilnehmer des diesjährigen Hacking-Wettbwerbs Pwn2Own Automotive unter anderem das Infotainmentsystem des E-Autoherstellers erfolgreich attackiert.
49 Zero-Day-Lücken
Der in Tokio veranstaltete Wettbewerb dauerte drei Tage und der Großteil der Angriffsversuche war erfolgreich. Das bringt den Teams Preisgelder ein. Insgesamt gibt der Veranstalter Trend Micro an, 1,3 Millionen US-Dollar ausgeschüttet zu haben.
(Bild: Zero Day Initiative)
Mit 450.000 US-Dollar führt das Team Synacktiv die Bestenliste mit großem Abstand an. Insgesamt haben die Teilnehmer 49 Zero-Day-Lücken entdeckt. Nun ist es an den Herstellern, Sicherheitsupdates zu veröffentlichen.
Die Attacken
Aus Sicherheitsgründen gibt es derzeit keine konkreten Informationen zu den Schwachstellen und Angriffsmustern. Bekannt ist etwa, dass Synacktiv drei Sicherheitslücken kombiniert hat, um das Tesla-Modem zu kompromittieren. Die Attacke brachte ihnen ein Preisgeld von 100.000 US-Dollar ein. Das Tesla-Infotainment-System gab sich nach einer Verkettung von zwei Bugs geschlagen.
Außerdem mussten mehrere Infotainmentsysteme wie das Sony XAV-AX5500 und Pioneer DMH-WT7600NEX dran glauben. Weil das Zeitlimit überschritten wurde, ist ein Angriff auf das System CHARX SEC-3100 von Phoenix Contact fehlgeschlagen.
Weiterhin gab es erfolgreiche Attacken gegen Ladestationen wie Ubiquiti Connect EV Station. Ein Angriff auf die JuiceBox 40 Smart EV Charging Station war zwar erfolgreich, weil die Lücke aber schon bekannt war, gibt es kein Preisgeld.
Wann die ersten Sicherheitspatches erscheinen, ist bislang unklar.
(des)
