在近期舉辦的Pwn2Own Automotive 2026汽車安全黑客大賽上,全球頂尖安全團隊圍繞車載系統、充電設備展開激烈攻防。賽事期間,多個知名品牌產品被曝存在高危漏洞,其中特斯拉車載信息娛樂系統成為首個被攻破的目標。
Synacktiv團隊在"USB接口攻擊"項目中,通過組合信息泄露與越界寫入漏洞,成功獲取特斯拉系統的root權限,贏得3.5萬美元獎金。該團隊還利用三重漏洞鏈攻破索尼XAV-9500ES數字媒體接收器,額外獲得2萬美元獎勵。其技術展示揭示了車載娛樂系統在物理接口防護方面的薄弱環節。
Fuzzware.io團隊以攻破三款充電設備位列第二,包括Alpitronic HYC50充電樁、Autel充電器及Kenwood DNR1007XR車載導航。該團隊通過針對性漏洞利用,累計獲得11.8萬美元獎金。賽事數據顯示,充電基礎設施成為本屆賽事的攻防重點,占全部攻擊目標的40%。
DDOS團隊成功入侵三款主流充電樁,包括ChargePoint Home Flex、Autel MaxiCharger及Grizzl-E Smart 40A,累計獲得7.25萬美元獎金。PetoWorks團隊則通過三個零日漏洞組合,攻破Phoenix Contact CHARX SEC-3150充電控制器,贏得5萬美元獎勵。這些案例凸顯電動汽車充電生態系統的安全隱憂。
根據賽事規則,廠商在漏洞提交后將獲得90天修復期,之后由Zero Day Initiative(ZDI)公開技術細節。這種"負責任披露"機制既保障了用戶安全,也為廠商提供了改進窗口。往屆數據顯示,2025屆賽事發現49個零日漏洞,頒發獎金88.625萬美元;2024年首屆賽事同樣發現49個漏洞,獎金總額達132.375萬美元。
本屆賽事共設置車載系統、充電設備、車聯網等六大攻防領域,吸引來自12個國家的23支團隊參賽。賽事技術委員會指出,隨著汽車智能化程度提升,攻擊面正從傳統ECU向信息娛樂系統、充電接口等新型組件擴展,安全防護需要構建多層次防御體系。
