Fiat Chrysler wird bis zu 1.500 $ zahlen, um Sicherheitslücken in seinen Autos zu finden

Fiat Chrysler bietet bis zu 1.500 $ für Hacker, die seine Software ausnutzen können

Fiat Chrysler Automobiles (FCA) reiht sich in eine Liste von Unternehmen ein, die Hackern Geld für das Finden von Schwachstellen und Sicherheitsfehlern in ihrer Fahrzeugsoftware anbieten. Die Belohnung im Bug-Bounty-Programm würde zwischen 150 $ und 1.500 $ liegen, abhängig von der Sicherheitslücke, die die White-Hat-Hacker und Forscher in einem der Jeeps, Ram-Trucks oder anderen Modelle des Automobilherstellers entdecken.

„Wir haben uns verpflichtet, die Entdeckung reproduzierbarer und legitimer Schwachstellen formal anzuerkennen und zu entschädigen, vorausgesetzt, sie werden verantwortungsbewusst offengelegt“, sagt das Unternehmen. „Unser Ziel mit dem Bug-Bounty-Projekt ist es, eine kollaborative Beziehung zu Forschern zu fördern, um an der verantwortungsvollen Offenlegung von Schwachstellen in den Fahrzeugen und verbundenen Diensten von FCA teilzunehmen.“

FCA wird die Belohnung auf der Bugcrowd-Plattform anbieten. Die Plattform wird die Auszahlungen verwalten. Bugcrowd sagt, dass es etwa 30.000 Sicherheitsforscher als Mitglieder hat.

„Es gibt viele Menschen, die gerne an ihren Fahrzeugen oder IT-Systemen basteln“, sagte Titus Melnyk, Senior Security Manager bei Fiat Chrysler. „Wir möchten unabhängige Sicherheitsforscher ermutigen, sich an uns zu wenden und das, was sie gefunden haben, zu teilen.“

Der Automobilhersteller bittet die Forscher, vollständige Details zu allen gefundenen Schwachstellen bereitzustellen, einschließlich Proof-of-Concept-Code oder Details. Uconnect iOS, Uconnect Android, ecoDrive onAndroid und ecoDrive auf dem iPhone und iPad sind alles Ziele. Darüber hinaus ist der Automobilhersteller an Sicherheitsproblemen interessiert, die innerhalb der Web-Domains driveconnect.eu und ecodrive.driveconnect.eu gefunden werden.

Forscher werden von FCA für Probleme wie Remote-Code-Ausführungsfehler (RCE) und Cross-Site-Scripting-Fehler auf authentifizierten Seiten belohnt, jedoch werden keine Belohnungen für Sicherheitsprobleme wie Clickjacking, Fehlermeldungen, Schwachstellen im Zusammenhang mit der Adobe Air-Infrastruktur, öffentlichen Dateien und Verzeichnissen oder Problemen mit der Zertifikatsstärke ausgegeben.

Insgesamt wurden bisher vier Fehler behoben und belohnt, aber die Details zu jedem Sicherheitsproblem bleiben privat.

FCA sagt, es sei der erste Automobilhersteller mit einer vollständigen Palette von Autos und Trucks, der eine solche Belohnung anbietet, obwohl der Elektroautohersteller Tesla Motors Inc. ein ähnliches Angebot gemacht hat.

Der Automobilhersteller sagt, dass er die Ergebnisse möglicherweise öffentlich machen könnte, um anderen zu helfen, abhängig von der Art der potenziellen Schwachstelle, die identifiziert wurde, und dem Umfang der betroffenen Nutzer, falls vorhanden.

FCA’s Ziel ist einfach, nämlich Schwachstellen in seinen Fahrzeugen zu finden, bevor sie zu einem kostspieligen Rückruf führen und das Image der Marke schädigen könnten. Im vergangenen Jahr war das Unternehmen gezwungen, 1,4 Millionen Fahrzeuge zurückzurufen und seine Software zu aktualisieren, nachdem zwei Sicherheitsforscher in das Unterhaltungssystem eines Jeep Cherokee eingedrungen waren und die Kontrolle über das Fahrzeug aus der Ferne übernommen hatten.

Die hochkarätige Demonstration war nicht nur ein peinlicher Vorfall für Fiat Chrysler, sondern brachte auch die Autoindustrie dazu, sicherzustellen, dass ihre Systeme sicher sind.

„Die Sicherheit und der Schutz unserer Verbraucher und ihrer Fahrzeuge hat oberste Priorität“, sagte Sandra Hosler, verantwortlich für das Cybersicherheitssystem, FCA US LLC. „Aufbauend auf einer Sicherheitskultur hat FCA US ein funktionsübergreifendes Team aus Ingenieuren, Sicherheits-, Regulierungs- und Spezialisten für vernetzte Fahrzeuge entwickelt, das sich der Zusammenarbeit und dem Engagement mit einer Vielzahl von Branchenfachleuten widmet, um Sicherheit von Anfang an in unsere Fahrzeuge und Produkte zu integrieren.“

FCA ist nicht das einzige Unternehmen, das Hacker engagiert hat, um seine Autos sicherer zu machen. Im vergangenen Jahr stellte Uber das Duo ein, das aus der Ferne in den Jeep Cherokee eingedrungen war.

Das FCA US Bug Bounty Programm (https://bugcrowd.com/fca) nutzt Crowdsourcing für Softwaretests, um die Herausforderungen der Cybersicherheit anzugehen. Das Bugcrowd-Programm wird helfen, potenzielle Sicherheitsanfälligkeiten von Produkten zu finden; Lösungen zu implementieren; die Sicherheit und den Schutz zu verbessern und den Geist der Transparenz und Zusammenarbeit innerhalb der Cybersicherheitsgemeinschaft zu fördern.