Podwójne uderzenie w Tesla Wall Connector
W trakcie prestiżowego konkursu hakerskiego Pwn2Own Automotive 2025 badacze bezpieczeństwa ponownie udowodnili, że technologie motoryzacyjne, w tym ładowarki do pojazdów elektrycznych (EV), mogą stanowić poważne zagrożenie, jeśli zostaną przejęte przez cyberprzestępców. Drugi dzień wydarzenia w Tokio przyniósł szczególną uwagę Tesla Wall Connector, który został zhakowany aż dwukrotnie.
Pierwszego włamania dokonała grupa PHP Hooligans, wykorzystując lukę związaną z niewłaściwym porównywaniem zakresu liczbowego bez sprawdzenia minimalnej wartości. Ten błąd zero-day pozwolił im na przejęcie kontroli nad urządzeniem. Chwilę później grupa Synacktiv zaprezentowała nowatorski sposób przejęcia tej samej ładowarki poprzez jej złącze ładowania — to pierwszy przypadek publicznego zademonstrowania takiej metody.
Dzień pełen emocji zakończył się kolejnymi próbami ataków na urządzenie Tesli. Zespół PCAutomotive oraz badacz Sina Kheirkhah z Summoning Team dokonali kolejnych włamań, wykorzystując znane już luki w systemie. Kheirkhah zastosował łańcuch exploitów, pokazując tym samym, że nawet zaawansowane systemy mogą być narażone na wielowarstwowe ataki.
Konkurs i jego wyzwania
Pwn2Own Automotive 2025, który odbywa się podczas konferencji Automotive World w Tokio, to coroczne wydarzenie skupiające się na bezpieczeństwie technologii motoryzacyjnych. Hakerzy rywalizują, by znaleźć i wykorzystać luki w systemach operacyjnych pojazdów, ładowarkach EV oraz systemach informacyjno-rozrywkowych (IVI). Wszystkie urządzenia biorące udział w konkursie muszą działać na najnowszych wersjach systemów operacyjnych i mieć zainstalowane aktualne poprawki bezpieczeństwa.
W drugim dniu wydarzenia badacze wykorzystali 23 nowe luki zero-day w różnych urządzeniach, w tym ładowarkach WOLFBOX, ChargePoint Home Flex, Autel MaxiCharger i Phoenix Contact CHARX. Ujawniono również słabości w systemach informacyjno-rozrywkowych Alpine iLX-507, Kenwood DMX958XR oraz Sony XAV-AX8500. Za swoje osiągnięcia uczestnicy otrzymali łącznie 335 500 dolarów nagród pieniężnych w ramach programu Zero Day Initiative firmy Trend Micro.
Pierwszy dzień konkursu również obfitował w odkrycia — wtedy badacze zidentyfikowali 16 unikalnych luk i zdobyli ponad 382 000 dolarów. Łączna pula nagród wskazuje, jak duże znaczenie ma dla producentów motoryzacyjnych zrozumienie i eliminowanie potencjalnych zagrożeń.
Skutki i wyzwania dla producentów
Ataki takie jak te przeprowadzone na Pwn2Own mają na celu zwrócenie uwagi na istotne problemy związane z bezpieczeństwem nowoczesnych technologii. Ujawnienie luk pozwala producentom na ich naprawienie, zanim zostaną one wykorzystane przez cyberprzestępców. Po zakończeniu konkursu firmy, których urządzenia zostały zhakowane, mają 90 dni na wprowadzenie odpowiednich poprawek. Dopiero po tym czasie informacje o lukach są publicznie ujawniane.
Tesla, która dostarczyła na konkurs również Model 3/Y wyposażony w procesor Ryzen, tym razem uniknęła prób ataków na swój pojazd. Jednak historia pokazuje, że hakerzy nie unikają wyzwań związanych z samochodami tej marki. W zeszłym roku badacze bezpieczeństwa zhakowali Teslę dwukrotnie, wykorzystując 49 luk zero-day w jej systemach.
Nowe wyzwania dla branży motoryzacyjnej
Technologie motoryzacyjne, w tym ładowarki EV oraz systemy informacyjno-rozrywkowe, stają się coraz bardziej zaawansowane, ale również bardziej narażone na ataki. Konkursy takie jak Pwn2Own pokazują, jak ważne jest nieustanne doskonalenie zabezpieczeń. Choć uczestnicy rywalizują o wysokie nagrody, ich praca przyczynia się do poprawy bezpieczeństwa milionów użytkowników na całym świecie.
Producenci muszą nie tylko reagować na zgłaszane zagrożenia, ale także inwestować w proaktywne działania, które zminimalizują ryzyko wykorzystania nowych luk w przyszłości. Wyzwanie dla branży motoryzacyjnej jest jasne: bezpieczeństwo cyfrowe musi iść w parze z innowacją.
