1 月 21 日消息,据外媒 Bleeping Computer 报道,在今天举行的 Pwn2Own Automotive 2026 汽车安全黑客大赛中,安全研究人员成功攻破特斯拉汽车的车载信息娱乐系统。
据介绍,Synacktiv 团队在“基于 USB 的攻击”项目中,通过将一个信息泄露漏洞与一个越界写入漏洞进行组合,成功获取特斯拉车载信息娱乐系统的 root 权限,获得了 3.5 万美元(注:现汇率约合 24.4 万元人民币)奖金。该团队还通过串联三个漏洞,拿下索尼 XAV-9500ES 数字媒体接收器的 root 级代码执行权限,额外获得 2 万美元(现汇率约合 13.9 万元人民币)奖励。
排行第二的 Fuzzware.io 团队则通过攻破 Alpitronic HYC50 充电桩、Autel 充电器以及 Kenwood DNR1007XR 车载导航接收器,合计获得 11.8 万美元(现汇率约合 82.3 万元人民币)奖金。
在本次大赛中,DDOS 团队成功入侵了 ChargePoint Home Flex、Autel MaxiCharger 以及 Grizzl-E Smart 40A 车辆充电桩,合计拿下 7.25 万美元(现汇率约合 50.6 万元人民币)奖金、PetoWorks 团队利用三个零日漏洞组合,成功取得 Phoenix Contact CHARX SEC-3150 充电控制器的 root 权限,获得 5 万美元(现汇率约合 34.9 万元人民币)奖励。
获悉,Pwn2Own Automotive 黑客大赛专注于汽车相关技术安全,根据赛事规则,在零日漏洞被成功利用并提交后,相关厂商将获得 90 天的修复窗口期,用于开发并发布安全补丁。在此之后,Trend Micro 旗下的 Zero Day Initiative(ZDI)才会对漏洞细节进行公开披露。
回顾往届赛事,Pwn2Own Automotive 2025 共发现并利用了 49 个零日漏洞,黑客获得 88.625 万美元奖金;而首届比赛 Pwn2Own Automotive 2024 中,研究人员同样发现了 49 个零日漏洞,斩获高达 132.375 万美元奖金总额。
