Ερευνητές ασφάλειας εισήλθαν στο σύστημα ψυχαγωγίας της Tesla και παρουσίασαν 24 νέες ευπάθειες zero-days κατά τη δεύτερη ημέρα του διαγωνισμού Pwn2Own Automotive 2024 για χάκερ.

Δείτε επίσης: Tesla: Ο μεγαλύτερος υποστηρικτής της βλέπει ότι η υπηρεσία robotaxi σύντομα θα κυκλοφορήσει

Η ομάδα Synacktiv (@Synacktiv) κέρδισε 100.000 δολάρια αφού ενδεχομένως εκμεταλλεύτηκε δύο zero-days για να δραπετεύσει από ένα sandbox και να χακάρει το Σύστημα Ψυχαγωγίας της Tesla.

Χρησιμοποίησαν επίσης μία ευπάθεια zero-day τριών αλυσίδων για να χακάρουν το λειτουργικό σύστημα Automotive Grade Linux κερδίζοντας επιπλέον $35.000.

Την πρώτη μέρα του Pwn2Own Automotive 2024, η Synacktiv συγκέντρωσε επιπλέον 295.000 δολάρια αφού απέκτησε πρόσβαση root σε ένα Tesla Modem και χάκαρε τα Ubiquiti Connect EV και τα JuiceBox 40 Smart EV Charging Stations, εκμεταλλευόμενη συνολικά επτά zero-days.

Κατά τη διάρκεια της δεύτερης ημέρας, οι συμμετέχοντες παρουσίασαν 24 μοναδικά σφάλματα και κέρδισαν 382.500 δολάρια, συνολικά 48 zero-days και 1.101.500 δολάρια από την έναρξη του διαγωνισμού.

Μετά το πέρας του διαγωνισμού Pwn2Own, οι προμηθευτές έχουν 90 ημέρες για να κυκλοφορήσουν διορθώσεις ασφαλείας πριν η Zero Day Initiative της TrendMicro αποκαλύψει δημόσια τα zero-days.

Ο διαγωνισμός Pwn2Own Automotive 2024 λαμβάνει χώρα στο Τόκυο της Ιαπωνίας, κατά τη διάρκεια της αυτοκινητιστικής διάσκεψης Automotive World από τις 24 έως τις 26 Ιανουαρίου, επικεντρώνοντας στις τεχνολογίες αυτοκινήτων.

Δείτε ακόμα: Tesla: Αυξάνει τους μισθούς ορισμένων εργαζομένων στο Gigafactory

Κατά τη διάρκεια του διαγωνισμού, οι χάκερ στοχεύουν στους φορτιστές ηλεκτρικών οχημάτων (ΗΟV), τα συστήματα ψυχαγωγίας και τα συστήματα λειτουργίας αυτοκινήτων, συμπεριλαμβανομένου του Automotive Grade Linux, του Android Automotive OS και του BlackBerry QNX.

Θα επιτεθούν επίσης στις μονάδες Tesla Model 3/Y (με βάση το Ryzen) και Tesla Model S/X (με βάση το Ryzen), συμπεριλαμβανομένων των συστημάτων ψυχαγωγίας και του μόντεμ εντός οχήματος, τα οποία έχουν ήδη χακαριστεί κατά τη διάρκεια των πρώτων δύο ημερών του τουρνουά.

Το υψηλότερο βραβείο που μπορεί να κερδιστεί είναι 200.000 δολάρια μετρητά και ένα αυτοκίνητο

Tesla για τις ευπάθειες VCSEC, πύλης ή autopilot zero-day.

Το πλήρες πρόγραμμα του φετινού διαγωνισμού αυτοκινητοβιομηχανίας είναι διαθέσιμο εδώ, ενώ το πλήρες πρόγραμμα για τη δεύτερη μέρα και τα αποτελέσματα για κάθε πρόκληση είναι διαθέσιμα εδώ.

Κατά τον διαγωνισμό Pwn2Own Vancouver 2023 τον Μάρτιο, οι ερευνητές ασφαλείας κέρδισαν $1,035,000 και ένα αυτοκίνητο Tesla Model 3, παρουσιάζοντας συνολικά 27 zero-days και αρκετά bug collisions.

Δείτε επίσης: Tesla Cybertruck: Εντοπίστηκε σε δρόμο να ρυμουλκεί μεγάλο τρέιλερ

Πώς μπορούμε να προστατευτούμε από τα Zero-Days;

Για να προστατευτούμε από τα Zero-Days, είναι απαραίτητο να εφαρμόζουμε τακτικά ενημερώσεις ασφαλείας στο λογισμικό και το λειτουργικό μας σύστημα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις για πιθανές ευπάθειες που μπορεί να εκμεταλλευτούν οι επιτιθέμενοι.

Επιπλέον, η χρήση εργαλείων ανίχνευσης εισβολών (IDS) και συστημάτων πρόληψης εισβολών (IPS) μπορεί να βοηθήσει στην αναγνώριση και την αποτροπή των επιθέσεων Zero-Day. Αυτά τα εργαλεία αναλύουν την κίνηση δικτύου για ανώμαλη συμπεριφορά που μπορεί να υποδεικνύει μια επίθεση.

Η εκπαίδευση των χρηστών είναι επίσης κρίσιμη. Οι χρήστες πρέπει να είναι ενήμεροι για τους κινδύνους που συνδέονται με τα Zero-Days και πώς να αναγνωρίσουν τυχόν ύποπτες συμπεριφορές ή μηνύματα.

Τέλος, η χρήση λύσεων ασφαλείας που βασίζονται σε συμπεριφορά, όπως η ανάλυση συμπεριφοράς δικτύου (NBA) και η προστασία από επιθέσεις που βασίζεται σε συμπεριφορά, μπορεί να προσφέρει προστασία από τις απειλές Zero-Day, αναγνωρίζοντας τις αλλαγές στη συμπεριφορά των συστημάτων ή των χρηστών που μπορεί να υποδεικνύουν μια επίθεση.

Πηγή: bleepingcomputer