Исследователи по ИБ взломали мультимедийную систему Tesla и ряд зарядных станций для электромобилей на Pwn2Own Automotive 2026. На первом дне соревнований участники использовали 37 уязвимостей нулевого дня и заработали в сумме $516 500 долларов призовых. Состязание проходит в Токио в рамках конференции Automotive World с 21 по 23 января и посвящено безопасности автомобильных технологий.
Команда Synacktiv взломала информационно-развлекательную систему Tesla через USB: она смогла получить права root, объединив утечку информации и ошибку записи за пределы допустимого диапазона, за что получила $35 000. Та же команда использовала три уязвимости для удалённого выполнения кода с правами root на цифровом медиаресивере Sony XAV-9500ES и заработала ещё $20 000.
Команда Fuzzware.io получила $118 000 за успешные атаки на зарядную станцию Alpitronic HYC50, зарядное устройство Autel и навигационный ресивер Kenwood DNR1007XR. Команда PetoWorks заработала $50 000, применив три уязвимости нулевого дня для получения root-доступа к контроллеру зарядки Phoenix Contact CHARX SEC-3150.
Команда DDOS получила $72 500 за взлом домашних зарядок ChargePoint Home Flex, Autel MaxiCharger и Grizzl-E Smart 40A. В рамках второго дня соревнований запланированы повторные попытки взлома Grizzl-E Smart 40A и Autel MaxiCharger и получения root-доступа к ChargePoint Home Flex. Каждая успешная атака оценивается в $50 000. Fuzzware.io дополнительно попробует взломать Phoenix Contact CHARX SEC-3150 с призом в $70 000.
У производителей будет 90 дней на ис��равление найденных уязвимостей, после чего их детали будут раскрыты публично, согласно программе Zero Day Initiative.
Организаторы напоминают, что в 2025 году участники Pwn2Own Automotive заработали $886 250, продемонстрировав 49 уязвимостей нулевого дня, а на первой конференции в 2024 году было выплачено $1 323 750 за аналогичное число уязвимостей, включая двукратный взлом Tesla.
