VicOne und ZDI: Pwn2Own Automotive 2025
Ethical Hacking für mehr Cybersicherheit in Fahrzeugen
Die Teilnehmer aus 13 Ländern entdeckten im Rahmen von „Pwn2Own Automotive 2025“ insgesamt 49 Zero-Day-Schwachstellen in Software-definierten Fahrzeugen (SDVs).
VicOne, Anbieter von Cybersicherheitslösungen für die Automobilindustrie, hat gemeinsam mit der Zero Day Initiative (ZDI), dem weltweit größten herstellerunabhängigen Bug-Bounty-Programm, auch 2025 den White-Hacking-Contest „Pwn2Own Automotive“ veranstaltet. Der Wettbewerb der Top Ethical Hacker und Cybersicherheitsexperten zur Erforschung und Behebung bisher unbekannter Cybersicherheitslücken (Zero-Day Discovery) im automobilen Bereich fand vom 22. Januar bis 24. Januar 2025 auf der Automotive World in Tokio unter Beteiligung renommierter Sicherheitsforscher statt.
Pwn2Own Automotive soll dazu beitragen, eine Grundlage für die künftige Cybersicherheit in der Automobilindustrie zu schaffen, indem Maßnahmen gestärkt und die Prävention von Angriffen durch die frühzeitige Entdeckung von Zero-Day-Schwachstellen, also relevanter, bisher noch nicht entdeckter oder nicht gemeldeter Sicherheitslücken, gefördert werden.
In ihrem zweiten Jahr begrüßten die Veranstalter 21 Teams (einschließlich Einzelteilnehmern) aus 13 Ländern weltweit. Im Lauf des dreitägigen Hacking-Wettbewerbs wurden insgesamt 49 Zero-Day-Schwachstellen entdeckt. Gewinner des Wettbewerbs und damit neuer Träger des Sieger-Titel „Master of Pwn“ wurde Sina Kheirkhah (UK/Summoning).
„Da softwaredefinierte Fahrzeuge (SDVs) die Automobilindustrie umgestalten, wird die Cybersicherheit für die Gewährleistung ihrer Sicherheit und Zuverlässigkeit immer wichtiger. Plattformen wie Pwn2Own Automotive helfen dabei, Zero-Day-Schwachstellen aufzudecken und Cyberrisiken zu mindern, bevor sie eskalieren können. Durch die Unterstützung von Initiativen wie dieser kann die Automobilbranche die Fahrzeugsicherheit proaktiv verbessern und so den Weg für eine sicherere und widerstandsfähigere Mobilität ebnen.“, erklärte VicOne-CEO Max Cheng.
Mit der zunehmenden Verbreitung überwiegend softwaregesteuerter Fahrzeuge, wächst die Besorgnis über Sicherheitslücken und das Risiko von Cyberangriffen. Dies erfordert unter anderem ein verbessertes Risiko-Management sowie neue Cybersicherheitsstandards in der Automobilindustrie. Durch die auf dieser Veranstaltung durchgeführten Sicherheitsuntersuchungen will man Zero-Day-Schwachstellen frühzeitig erkennen, bevor sie auf dem Schwarzmarkt kursieren. Dies ermögliche rasche Gegenmaßnahmen, um Schäden durch Cyberangriffe zu verhindern, und trägt gleichzeitig zur Verbesserung des Sicherheitsniveaus bei.
Darüber hinaus soll der White-Hacking-Wettbewerb Innovationen fördern, indem er die Leistungen von Sicherheitsforschern anerkennt und für erfolgreiche Hacks Preise im Gesamtwert von über 1 Million Dollar verleiht. Dies schaffe Anreize für weitere Anstrengungen in Forschung und Entwicklung und bietet den Teilnehmern gleichzeitig praktische Erfahrungen, die die Talente in der Cybersicherheitsbranche fördern und letztlich zu einer verbesserten globalen Cybersicherheitslandschaft beitragen.
Die wichtigsten Ergebnisse des Wettbewerbs Pwn2Own Automotive 2025:
- Der Sieger des Wettbewerbs und nach 2024 zweiter „Master of Pwn“ ist Sina Kheirkhah (Team Summoning) aus dem Vereinigten Königreich der die höchste Punktzahl von 30,5 Punkten erreichte.
- Im Lauf der drei Tage entdeckten die Teilnehmer insgesamt 49 bisher unbekannte, unveröffentlichte oder nicht gemeldete Sicherheitslücken (Zero-Day-Schwachstellen), und Preise im Gesamtwert von rund 1 Million USD wurden vergeben.
- Insgesamt 21 Teams und einzelne Sicherheitsforscher aus 13 Ländern wie USA, Japan, Vereinigtes Königreich, Ungarn, Niederlande, Frankreich, Deutschland und Vietnam nahmen teil.
„Seit 2007 ist Pwn2Own der weltweit größte Wettbewerb zur Cybersicherheit, bei dem Spitzenforscher bzw. White-Hacker ausgezeichnet werden, die die schwierigsten Angriffsszenarien durchführen und Zero-Day-Schwachstellen aufdecken. Nach dem Erfolg des letzten Jahres konnten wir in diesem Jahr zum zweiten Mal nach Tokio kommen, um Pwn2Own Automotive zu veranstalten.“, ergänzte Brian Gorenc, VP of Threat Research bei der VicOne-Muttergesellschaft Trend Micro und verantwortlich für das ZDI-Programm.
„Die Entdeckung von 49 Zero-Day-Schwachstellen und die Möglichkeit, eine Gemeinschaft von Automobilherstellern und erstklassigen Sicherheitsforschern zusammenzubringen, um die neuesten Erkenntnisse zur Cybersicherheit in der Automobilindustrie auszutauschen, ist von entscheidender Bedeutung für die Fähigkeit der globalen Automobilindustrie, sich auf die sich entwickelnden Cyberbedrohungen vorzubereiten. Wir freuen uns schon jetzt darauf, nächstes Jahr wiederzukommen.“, so der ZDI-Verantwortlicher Gorenc abschließend.
Die während des Wettbewerbs entdeckten Zero-Day-Schwachstellen wurden den jeweils betroffenen Automobilanbietern und Zulieferern gemeldet, die Schritte zu deren Behebung und zur Entwicklung von Gegenmaßnahmen unternehmen werden. Detaillierte Informationen zu den Cyberschwachstellen werden voraussichtlich 90 Tage nach Abschluss des Wettbewerbs veröffentlicht, je nach Fortschritt der Fehlerbehebungen und dem jeweiligen Stand von Neuentwicklungen.
Zeitgleich zum Pwn2Own Automotive Wettbewerb nahm VicOne auch an der 17. Automotive World in Tokio als Aussteller teil. An seinem Stand präsentierte das Unternehmen unter anderem Lösungen wie die „xZETA“ Anwendung, die die Stärken von VicOne in den Bereichen SBOM (Software Bill of Materials) und Zero-Day-Schwachstellen nutzt, sowie seine „Smart Cockpit Protection“ Lösung, die KI-basierte Sicherheitstechnologien integriert, um Datenlecks und KI-Angriffe in intelligenten Cockpit-Umgebungen wirksam abzuwehren. Dazu gehörten Live-Demonstrationen neuer Lösungsfunktionen und die Bekanntgabe neuer Partnerschaften mit weiteren Branchenunternehmen.
So gaben etwa VicOne, Inventec und Skymizer ihre Kooperation bei der Entwicklung einer robusten fahrzeuginternen GenAI-Sicherheitslösung für Smart Cockpits bekannt.
Lesen Sie mehr zum Thema
