- На конкурсе Pwn2Own Automotive 2026 исследователи по ИБ взломали мультимедийную систему Tesla и несколько зарядных станций для электромобилей, используя 37 уязвимостей нулевого дня.
- Команды-участники заработали призовые свыше $516 500 за успешные атаки на системы Tesla, Sony, Alpitronic, Autel, Kenwood и другие.
- Производители устройств получат 90 дней на исправление найденных уязвимостей перед их публичным раскрытием в рамках программы Zero Day Initiative.
На проходящей в Токио конференции Automotive World в период с 21 по 23 января 2026 года в рамках соревнования Pwn2Own Automotive исследователи в области информационной безопасности продемонстрировали взломы нескольких ключевых автомобильных технологий. Особое внимание привлекла успешная атака на мультимедийную систему Tesla и ряд зарядных станций для электромобилей, в ходе которой было использовано 37 уязвимостей нулевого дня. За это исследователи получили общую сумму призовых свыше полумиллиона долларов.
Команда Synacktiv смогла получить root-права в информационно-развлекательной системе Tesla, применив комбинацию утечки информации и ошибки записи за пределы допустимого диапазона через USB-интерфейс. За эту атаку коллектив заработал $35 000. Кроме того, та же команда использовала три уязвимости для удалённого выполнения кода с привилегиями root на цифровом медиаресивере Sony XAV-9500ES, что позволило дополнительно получить $20 000.
Наибольший приз — $118 000 — достался команде Fuzzware.io за успешные взломы зарядных станций Alpitronic HYC50, устройств Autel и навигационного ресивера Kenwood DNR1007XR. В свою очередь, команда PetoWorks получила $50 000, выявив три уязвимости нулевого дня для получения root-доступа к контроллеру зарядного устройства Phoenix Contact CHARX SEC-3150.
Команда DDOS сосредоточилась на атаках на домашние зарядные устройства ChargePoint Home Flex, Autel MaxiCharger и Grizzl-E Smart 40A, заработав $72 500. Второй день соревнований запланирован для повторных попыток взлома некоторых из этих устройств с призом до $50 000 за каждую успешную атаку, а команда Fuzzware.io продолжит попытки на контроллер Phoenix Contact с призом в $70 000.
Организаторы пояснили, что согласно политике программы Zero Day Initiative производители получат 90 дней на устранение обнаруженных уязвимостей, после чего технические детали и эксплойты будут опубликованы для широкой аудитории. Такая практика способствует улучшению безопасности автомобильных технологий и зарядной инфраструктуры.
Стоит отметить, что в 2025 году участники Pwn2Own Automotive выявили 49 уязвимостей нулевого дня и суммарно заработали $886 250. В 2024 году на первой конференции подобного формата сумма призовых достигла $1 323 750, включая двукратный взлом систем Tesla, что свидетельствует о высоком уровне развития и важности тестирования безопасности в автомобильной сфере.
