IT之家 1 月 21 日消息,據外媒 Bleeping Computer 報道,在今天舉行的 Pwn2Own Automotive 2026 汽車安全黑客大賽中,安全研究人員成功攻破特斯拉汽車的車載信息娛樂系統。
據介紹,Synacktiv 團隊在「基於 USB 的攻擊」項目中,通過將一個信息泄露漏洞與一個越界寫入漏洞進行組合,成功獲取特斯拉車載信息娛樂系統的 root 權限,獲得了 3.5 萬美元(IT之家註:現匯率約合 24.4 萬元人民幣)獎金。該團隊還通過串聯三個漏洞,拿下索尼 XAV-9500ES 數字媒體接收器的 root 級代碼執行權限,額外獲得 2 萬美元(現匯率約合 13.9 萬元人民幣)獎勵。
排行第二的 Fuzzware.io 團隊則通過攻破 Alpitronic HYC50 充電樁、Autel 充電器以及 Kenwood DNR1007XR 車載導航接收器,合計獲得 11.8 萬美元(現匯率約合 82.3 萬元人民幣)獎金。
此外,在本次大賽中,DDOS 團隊成功入侵了 ChargePoint Home Flex、Autel MaxiCharger 以及 Grizzl-E Smart 40A 車輛充電樁,合計拿下 7.25 萬美元(現匯率約合 50.6 萬元人民幣)獎金、PetoWorks 團隊利用三個零日漏洞組合,成功取得 Phoenix Contact CHARX SEC-3150 充電控制器的 root 權限,獲得 5 萬美元(現匯率約合 34.9 萬元人民幣)獎勵。
IT之家獲悉,Pwn2Own Automotive 黑客大賽專註於汽車相關技術安全,根據賽事規則,在零日漏洞被成功利用並提交後,相關廠商將獲得 90 天的修復窗口期,用於開發並發佈安全補丁。在此之後,Trend Micro 旗下的 Zero Day Initiative(ZDI)才會對漏洞細節進行公開披露。
回顧往屆賽事,Pwn2Own Automotive 2025 共發現並利用了 49 個零日漏洞,黑客獲得 88.625 萬美元獎金;而首屆比賽 Pwn2Own Automotive 2024 中,研究人員同樣發現了 49 個零日漏洞,斬獲高達 132.375 萬美元獎金總額。
