在近期举办的Pwn2Own Automotive 2026汽车安全黑客大赛上,全球顶尖安全团队围绕车载系统、充电设备展开激烈攻防。赛事期间,多个知名品牌产品被曝存在高危漏洞,其中特斯拉车载信息娱乐系统成为首个被攻破的目标。
Synacktiv团队在"USB接口攻击"项目中,通过组合信息泄露与越界写入漏洞,成功获取特斯拉系统的root权限,赢得3.5万美元奖金。该团队还利用三重漏洞链攻破索尼XAV-9500ES数字媒体接收器,额外获得2万美元奖励。其技术展示揭示了车载娱乐系统在物理接口防护方面的薄弱环节。
Fuzzware.io团队以攻破三款充电设备位列第二,包括Alpitronic HYC50充电桩、Autel充电器及Kenwood DNR1007XR车载导航。该团队通过针对性漏洞利用,累计获得11.8万美元奖金。赛事数据显示,充电基础设施成为本届赛事的攻防重点,占全部攻击目标的40%。
DDOS团队成功入侵三款主流充电桩,包括ChargePoint Home Flex、Autel MaxiCharger及Grizzl-E Smart 40A,累计获得7.25万美元奖金。PetoWorks团队则通过三个零日漏洞组合,攻破Phoenix Contact CHARX SEC-3150充电控制器,赢得5万美元奖励。这些案例凸显电动汽车充电生态系统的安全隐忧。
根据赛事规则,厂商在漏洞提交后将获得90天修复期,之后由Zero Day Initiative(ZDI)公开技术细节。这种"负责任披露"机制既保障了用户安全,也为厂商提供了改进窗口。往届数据显示,2025届赛事发现49个零日漏洞,颁发奖金88.625万美元;2024年首届赛事同样发现49个漏洞,奖金总额达132.375万美元。
本届赛事共设置车载系统、充电设备、车联网等六大攻防领域,吸引来自12个国家的23支团队参赛。赛事技术委员会指出,随着汽车智能化程度提升,攻击面正从传统ECU向信息娱乐系统、充电接口等新型组件扩展,安全防护需要构建多层次防御体系。
