Es ist schon wieder passiert: Bereits letzten Monat haben wir über einen erfolgreichen Angriff durch die TU Berlin auf den Steuerungsrechner eines Teslas berichtet. Nun fand vom 24. bis 26. Januar der beliebte Pwn2Own-Wettbewerb statt, der seinen Fokus erstmalig auf Automobile legte. Das Ergebnis ist beeindruckend: Insgesamt wurden 49 Zero-Days entdeckt, was zu einer Ausschüttung von 1.323.750 US-Dollar an Preisgeldern führte.
Mit dem Einzug klassischer Informationstechnologie ins Infotainment übertragen sich auch dessen Herausforderungen in der Sicherheit. Zeitgleich ist eine Trennung der IT von der operationellen Technologie mit der Safety des Fahrzeugs essenziell. Diese Trennung aus IT und OT als Hürde für Angreifer bildet auch in klassischen Produktionsbetrieben eine wichtige Schutzmaßnahme. Die Automobilbranche kann etwas von diesen Unternehmen lernen und sich weiter für Sicherheitsforschung öffnen, um Risiken besser minimieren zu können. Mit einem Mangel an externer Kontrolle ging häufig auch ein Mangel an Sicherheit einher. Hersteller profitieren von solchen Wettbewerben enorm. Die gefundenen Sicherheitslücken bleiben für 90 Tage vertraulich und können in der Zwischenzeit behoben werden.
Für Interessierte, die mehr über einen der Angriffsvektoren erfahren möchten, empfehlen wir den dritten Link, in dem die Synacktiv-Gruppe grob über ihre verwendete Exploit-Chain spricht.
https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs