Ausnutzung von Schwachstellen
Pwn2Own 2025: Ethical Hacking von Automobilen
Beim Pwn2Own Automotive 2025 entdeckten die Teilnehmer insgesamt 49 Zero-Day-Schwachstellen in Software-definierten Fahrzeugen (SDVs). Es ging dabei um die Kategorien: Infotainment-Systeme (IVI), Ladegeräte für Elektrofahrzeuge und Betriebssysteme.
Save to Folio
Trend Micros Zero Day Initiative (ZDI) hat zum zweiten Mal den Ethical Hackingwettbewerb Pwn2Own Automotive 2025 veranstaltet. In Tokio traten an drei Tagen 21 Teams und Einzelteilnehmer aus 13 Ländern mit der Aufgabe an, im automobilen Bereich Sicherheitslücken zu entdecken und damit den Herstellern die Möglichkeit zu geben, diese zu schließen.
Der Wettbewerb umfasste verschiedene Sicherheitsherausforderungen in drei Kategorien: Infotainmentsysteme in Fahrzeugen (IVI), Ladegeräte für Elektrofahrzeuge (EV) und Betriebssysteme (OS). Die Teilnehmer erhielten Punkte und Geldprämien für das Aufspüren unbekannter, unveröffentlichter oder nicht gemeldeter Sicherheitslücken. Am Ende wurde das Team bzw. der Teilnehmer mit den meisten Punkten mit dem Titel „Master of Pwn“ ausgezeichnet.
Insgesamt entdeckten die White Hat-Hacker 49 Zero Day-Schwachstellen und erhielten Preisgelder von knapp mehr als 886.000 US-Dollar. Gewinner des Wettbewerbs und damit neuer Träger des Titels „Master of Pwn“ wurde Sina Kheirkhah (Team Summoning) mit 30,5 Punkten. Sie erhielten für ihre erfolgreichen Hackings 222.250 Dollar.
Die Erfolgsquote beim Hacken der EV Charger war hoch: Sina Kheirkhah gelangen Angriffe auf den ChargePoint- und den Wolfbox-Lader, während die Zweitplazierten Synacktiv Team Erfolge beim Hacken des Tesla Wall Connector, Ubiquiti sowie Autel MaxiChargers erzielten. Ein VicOne-Experte hebt dabei hervor, dass die EV-Ladegeräte, die Synacktiv gehackt hatte (ChargePoint Home Flex, Tesla Wall Connector), über raffinierte Zusatzfunktionen verfügten. Er warnt davor, dass die Exploit-Ketten möglicherweise über die Ladegeräte hinaus reichen könnten und Cyberkriminelle sie als Sprungbrett nutzen, um Fahrzeuge und verbundene Systeme zu kompromittieren.
Auch in den zur Verfügung gestellten Infotainment-Systemen fanden die Teilnehmer Schwachstellen, über die sie eindringen konnten, so etwa war Sina Kheirkhah über Command Injection erfolgreich bei Alpine iLX-507, oder das Synacktiv-Team im Infotainment-System Kennwood DMX958XR. Als Beweis ließen sie ein Video des Spiels „Doom“ auf dem Bildschirm des Systems laufen.
Die während des Wettbewerbs entdeckten Zero-Day-Schwachstellen wurden den jeweils betroffenen Automobilanbietern bzw. Zulieferern gemeldet, die Schritte zu deren Behebung und zur Entwicklung von Gegenmaßnahmen unternehmen werden. Detaillierte Informationen zu den Cyberschwachstellen werden voraussichtlich 90 Tage nach Abschluss des Wettbewerbs veröffentlicht, je nach Fortschritt der Fehlerbehebungen und dem jeweiligen Stand von Neuentwicklungen.
Pwn2Own Automotive trägt dazu bei, eine Grundlage für die künftige Cybersicherheit in der Automobilindustrie zu schaffen, indem Cybersicherheitsmaßnahmen gestärkt und die Prävention von Cyberangriffen durch die frühzeitige Entdeckung von Zero-Day-Schwachstellen, also relevanter, bisher noch nicht entdeckter oder nicht gemeldeter Sicherheitslücken, gefördert werden.
Weitere Einzelheiten zu den drei Wettbewerbstagen liefert der Blog der ZDI.