Уязвимости Pwn2Own Automotive 2026

[Rehub]

Исследователи в области кибербезопасности взломали информационно-развлекательную систему Tesla и заработали 516 500 долларов, воспользовавшись 37 уязвимостями нулевого дня в первый день соревнований Pwn2Own Automotive 2026.

Команда Synacktiv получила 35 000 долларов за успешное объединение утечки информации и уязвимости, позволяющей выполнять запись за пределами выделенной области для получения прав суперпользователя в информационно-развлекательной системе Tesla в категории атак с использованием USB. Они также объединили три уязвимости, чтобы получить возможность выполнения кода на уровне суперпользователя в цифровом медиаресивере Sony XAV-9500ES, и получили дополнительное денежное вознаграждение в размере 20 000 долларов.

Команды Fuzzware.io заработали ещё 118 000 долларов после взлома зарядной станции Alpitronic HYC50, зарядного устройства Autel и навигационного приёмника Kenwood DNR1007XR, а PetoWorks получила 50 000 долларов за использование трёх уязвимостей нулевого дня для получения root-доступа к контроллеру зарядки Phoenix Contact CHARX SEC-3150.

Команда DDOS также заработала 72 500 долларов за взлом ChargePoint Home Flex, Autel MaxiCharger и автомобильной зарядной станции Grizzl-E Smart 40A.

На второй день Pwn2Own четыре команды будут атаковать Grizzl-E Smart 40A, три команды — Autel MaxiCharger, а две команды попытаются получить root-доступ к ChargePoint Home Flex. За каждую успешную попытку хакеры получат по 50 000 долларов.

Команда Fuzzware.io также попытается взломать автомобильное зарядное устройство Phoenix Contact CHARX SEC-3150, чтобы получить денежное вознаграждение в размере 70 000 долларов.

​

Хакерский конкурс Pwn2Own Automotive 2026 посвящен автомобильным технологиям и проходит на этой неделе в Токио, Япония, во время автомобильной конференции Automotive World с 21 по 23 января.

В ходе этого хакерского соревнования исследователи в области безопасности будут атаковать полностью обновлённые информационно-развлекательные системы (IVI) в автомобилях, зарядные устройства для электромобилей (EV) и автомобильные операционные системы (например, Automotive Grade Linux).

Полное расписание автомобильных соревнований этого года доступно здесь: Для просмотра ссылки Войди или Зарегистрируйся

а полное расписание первого дня и результаты каждого этапа доступны здесь: Для просмотра ссылки Войди или Зарегистрируйся

Соревнование Для просмотра ссылки Войди или Зарегистрируйся завершилось тем, что хакеры заработали 886 250 долларов, использовав 49 уязвимостей нулевого дня.

Во время первого конкурса Для просмотра ссылки Войди или Зарегистрируйся году они заработали ещё 1 323 750 долларов в виде денежных призов, продемонстрировав 49 уязвимостей нулевого дня в различных системах электромобилей и дважды взломав Tesla.

• Source: Для просмотра ссылки Войди или Зарегистрируйся

 

[Rehub]

На второй день хакерского поединка Pwn2Own Automotive 2026 исследователи пополнили свой гонорар на 439 250 долл., реализовав 29 уникальных 0-day.

В ходе соревнований исследователи нацеливаются на полностью обновленные зарядные устройства для электромобилей (EV), автомобильные информационно-развлекательные системы (IVI) и автомобильные операционные системы (например, Automotive Grade Linux).

​

В настоящее время команда Fuzzware.io лидирует в турнирной таблице с 213 000 долл., заработанными за первые два дня, и еще 95 000 долл. после препарирования контроллера зарядки Phoenix Contact CHARX SEC-3150, зарядного устройства ChargePoint Home Flex EV и зарядной станции Grizzl-E Smart 40A EV.

Сина Хейрхах из Summoning Team получила 40 000 долл. за root-права на навигационном ресивере Kenwood DNR1007XR, зарядном устройстве ChargePoint Home Flex и мультимедийном ресивере Alpine iLX-F511.

Роб Блейкли из Technical Debt Collectors и Хэнк Чен из InnoEdge Labs также получили по 40 000 зеленых каждый за демонстрацию цепочек 0-day эксплойтов, нацеленных на Automotive Grade Linux и зарядную станцию Alpitronic HYC50.

По итогам первых двух дней конкурса исследователи заработали денежные призы на сумму 955 750 долларов, успешно использовав 66 нулей.

В третий день Pwn2Own команда Slow Horses из Qrious Secure и PetoWorks предпримет еще одну попытку атаки на Grizzl-E Smart 40A, команда Juurin Oy попытается взломать Alpitronic HYC50, а Рё Като - Autel MaxiCharger.

Подробное расписание второго дня с результатами каждого задания - здесь: Для просмотра ссылки Войди или Зарегистрируйся

а полное расписание всего Pwn2Own Automotive 2026 - здесь: Для просмотра ссылки Войди или Зарегистрируйся

 

[Rehub]

Подведены итоги трёх дней соревнований Pwn2Own Automotive 2026, проведённых на конференции Automotive World в Токио. На соревнованиях были продемонстрированы 66 ранее неизвестных уязвимостей (0-day) в автомобильных информационно-развлекательных платформах, операционных системах и устройствах зарядки электромобилей. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.

Суммарный размер выплаченных вознаграждений составил 955 тысяч долларов США. Наиболее успешная команда Fuzzware.io сумела заработать на соревнованиях 213 тысячи долларов США. Обладатели второго места (Team DDOS) получили 95 тысяч долларов, а третьего (Synacktiv) - 85 тысяч долларов.

​

В ходе соревнований продемонстрированы следующие атаки:

• Взлом окружения на базе дистрибутива Automotive Grade Linux ($4000 за эксплуатацию цепочки из трёх уязвимостей, связанных с чтением из области вне буфера, исчерпанием свободной памяти и переполнением буфера).

• 12 взломов информационно-развлекательной системы на базе платформы Alpine iLX-511 ($20000, 2 по $10000 и $5000 за эксплуатацию уязвимостей, приводящих к переполнению буфера; $10000, 2 по $5000 и 4 по $2500 за уязвимость, позволяющую получить доступ к опасному методу; $10000 за уязвимость, приводящую к подстановке команд).

• 12 взломов информационно-развлекательной системы Kenwood DNR1007XR ($20000 и $10000 за уязвимости, вызванные переполнением буфера; $8000 за эксплоит, использующий ранее известную, но не устранённую проблему с жёстко прописанными учётными данными, в сочетании с некорректными правами доступа к важному ресурсу и уязвимостью, приводящую к подстановке команд; $4000 за эксплоит, использующий ранее известные, но не устранённые проблемы с состоянием гонки и некорректными правами доступа; $8000 и 3 по $2500 за эксплуатацию уже известной уязвимости, оставшейся неисправленной; $8000 за эксплуатацию цепочки из 3 уязимостей - жёстко прописанные учётными данными, некорректно выставленные права доступа и отсутствие проверки символической ссылки; $6000, $5000 и $4000 за уязвимости, приводящие к подстановке команд).

• 4 взлома информационно-развлекательной системы Sony XAV-9500ES ($20000 за эксплоит, использующий цепочку из трёх ошибок; 3 по $10000 за эксплуатацию выхода за границу буфера).

• Взлом информационно-развлекательной системы автомобиля Tesla при подключении через USB-порт ($35000 за эксплоит, использующий утечку информации и переполнение буфера).

• 10 взломов зарядной станции Grizzl-E Smart 40A ($40000 за выявление жёстко прописанных в прошивке учётных данных и отсутствие проверки целостности загружаемого кода; $25000 и $10000 за уязвимость, приводящую к обходу аутентификации; $10000 за уязвимость, приводящую к переполнению буфера; $22500, $20000, 3 по $15000 и $5000 за эксплоиты, использующие цепочки из 3 или 2 ошибок).

• 7 взломов зарядной станции Phoenix Contact CHARX SEC-3150 ($50000 за эксплоит, использующий подстановку команд и состояние гонки; $50000, $20000 $19250 и $6750 за эксплоиты, использующие цепочки из 3, 5 и 6 ошибок; $20000 за эксплуатацию уязвимостей, позволивших обойти аутентификацию и повысить свои привилегии; $15000 за эксплоит, использующий цепочку из 3 ошибок).

• 4 взлома зарядной станции Autel MaxiCharger AC Elite Home 40A ($50000, $20000 и $10000 за уязвимости, позволившие обойти аутентификацию и проверку цифровой подписи; $30000 за уязвимость, приводящую к переполнению буфера).

• 4 взлома зарядной станции ChargePoint Home Flex CPH50-K ($40000, 2 по $30000 и $16750 за уязвимости, допускающие подстановку команд, и отсутствие должной обработки символических ссылок).

• 4 взлома зарядной станции Alpitronic HYC50 ($60000 за эксплуатацию уязвимости, приводящей к переполнению буфера; $40000 за уязвимость, позволяющую получить доступ к опасному методу; $20000 за уязвимость, вызванную состоянием гонки; $20000)

Кроме вышеотмеченных успешных атак, 9 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома устройств Kenwood DNR1007XR, Alpine iLX-F511, Autel MaxiCharger AC Elite Home 40A, EMPORIA Pro Charger Level 2, ChargePoint Home Flex, Sony XAV-9500ES и Grizzl-E Smart 40A.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.