Në Pwn2Own 2024, studiuesit zbuluan një gamë të gjerë dobësish në karikuesit e automjeteve elektrike, komponentët e Tesla-s dhe sistemet operative. Ngjarja kishte tërhequr vëmendjen vitin e kaluar për shënjestrimin e makinave si një sipërfaqe sulmi, por ngjarja e këtij viti doli të ishte edhe më ndriçuese.

Dita e parë e konkursit pa demonstrimin e 24 dobësive unike të ditës zero, duke rezultuar në $722,500 fitime për garuesit. Dita e dytë pa 20 shfrytëzime të reja shtesë, dhe dita e fundit premtoi nëntë të tjera, duke e çuar totalin në 53 dobësi zero-ditore të zbuluara gjatë rrjedhës së ngjarjes.

Dustin Childs, kreu i ndërgjegjësimit për kërcënimet për Trend Micro's Zero Day Initiative (ZDI), vuri në dukje se automjetet po bëhen sisteme gjithnjë e më komplekse, me mungesën e kontrollit të jashtëm që çon në çështje të mundshme sigurie. Kjo mungesë e kërkimit mbi sigurinë e sistemeve të automjeteve ka ngritur shqetësime për sigurinë e përgjithshme të makinave moderne.

Vitin e kaluar, një ekip nga Synacktiv bëri bujë duke hakuar me sukses një Tesla Model 3 në më pak se dy minuta. Këtë vit, ekipi u kthye për të demonstruar shfrytëzimet e stacioneve të karikimit të Ubiquiti Connect dhe JuiceBox 40 Smart EV, ChargePoint Home Flex dhe Automotive Grade Linux. Arritjet më të dukshme përfshinin një zinxhir shfrytëzimi me tre defekte kundër modemit të Tesla-s dhe një zinxhir me dy defekte kundër sistemit të tij info-argëtues, secili duke fituar një çmim në para prej $100,000.

Sipas rregullave të ngjarjes, shitësit kanë 90 ditë për të adresuar të metat e sigurisë përpara se ato të zbulohen publikisht. Ekipi i Synacktiv ofroi një përmbledhje të nivelit të lartë të sulmeve, duke zbuluar se dobësitë lejuan akses të paautorizuar në modemin dhe sistemin info-argëtues të Tesla-s, duke ofruar kontroll mbi komponentët si fenerët, fshirëset e xhamit të përparmë dhe aksesin në bagazhin dhe dyert.

Renaud Feil, CEO i Synacktiv, theksoi se ndërsa makinat Tesla kanë një sipërfaqe të madhe sulmi për shkak të dizajnit të tyre të fokusuar në IT, ato gjithashtu kanë një ekip të fortë sigurie që i kushton vëmendje masave të sigurisë. Ky dualitet paraqet një sfidë unike për ata që kërkojnë të shfrytëzojnë dobësitë në automjetet Tesla.

Ken Tindell, shefi i teknologjisë i Canis Automotive Labs, vuri në dukje sipërfaqen në rritje të sulmit të automjeteve me shtimin e lidhjes me valë dhe aftësive të aksesit në distancë. Ai theksoi sfidën e menaxhimit të pajisjeve të IT së bashku me makineritë kritike për sigurinë, si frenat dhe fenerët, në një mënyrë që parandalon dobësitë të ndikojnë në sigurinë e përgjithshme të automjetit.

Tindell sugjeroi dy qasje të mundshme për sigurinë kibernetike të automjeteve, duke përfshirë përdorimin e sistemeve të bazuara në telefon si Apple CarPlay dhe Android Auto, si dhe licencimin e sistemeve operative nga kompani të mëdha si Google. Megjithatë, efektiviteti afatgjatë i këtyre zgjidhjeve mbetet një shqetësim, pasi ato mbështeten në aftësinë e ofruesve të palëve të treta për të ofruar vazhdimisht përditësime të sigurisë.

Në përgjithësi, Pwn2Own 2024 theksoi nevojën për masa të zgjeruara të sigurisë kibernetike në industrinë e automobilave. Të dy Feil dhe Tindell theksuan rëndësinë e investimit në sigurinë kibernetike dhe kryerjen e auditimeve të plota për të identifikuar dhe adresuar dobësitë e mundshme. Ata sugjeruan gjithashtu se ndërhyrja rregullatore mund të jetë e nevojshme për të siguruar që prodhuesit t'i japin përparësi sigurisë kibernetike në automjetet e tyre, duke pasur parasysh ndikimin e rëndësishëm të shkeljeve të sigurisë në sigurinë publike.

Lidhja e burimit