【安全资讯】Pwn2Own Automotive 2026次日：黑客利用29个零日漏洞，揭示汽车网络安全严峻挑战

概要：

在东京举行的Pwn2Own Automotive 2026黑客大赛进入第二天，安全研究人员通过利用29个独特的零日漏洞，累计获得了439,250美元的奖金。这一赛事聚焦于汽车技术安全，针对电动汽车充电器、车载信息娱乐系统和汽车操作系统等关键部件进行攻击演示，凸显了智能网联汽车面临日益复杂的网络安全威胁，其潜在风险直接关系到用户安全与交通基础设施的稳定。

主要内容：

在比赛次日，多个团队展示了针对不同汽车组件的复杂攻击链。Fuzzware.io团队通过攻击Phoenix Contact CHARX SEC-3150充电控制器、ChargePoint Home Flex和Grizzl-E Smart 40A充电站，累计获得95,000美元奖金，目前以总奖金213,000美元领跑积分榜。Summoning团队的Sina Kheirkhah则通过获取Kenwood DNR1007XR导航接收器、ChargePoint Home Flex和Alpine iLX-F511多媒体接收器的根权限，赢得了40,000美元。

Technical Debt Collectors的Rob Blakely和InnoEdge Labs的Hank Chen也各自获得40,000美元，他们演示了针对Automotive Grade Linux操作系统和Alpitronic HYC50充电站的零日漏洞利用链。这些攻击通常结合多个漏洞，例如信息泄露和越界写入缺陷，最终实现权限提升或代码执行。

赛事前两日，研究人员已通过利用66个零日漏洞获得总计955,750美元奖金。根据规则，相关厂商有90天时间根据报告开发并发布安全补丁，之后TrendMicro的Zero Day Initiative才会公开披露漏洞细节。此次比赛结果再次表明，汽车行业供应链中的软件与硬件组件存在广泛的安全薄弱点，亟需全行业协同应对。