【安全资讯】Pwn2Own Automotive 2026落幕：黑客利用76个零日漏洞斩获百万美元奖金

概要：

在网络安全领域，针对关键基础设施的漏洞挖掘与防御始终是核心议题。近日，备受瞩目的Pwn2Own Automotive 2026黑客大赛在日本东京落下帷幕，赛事聚焦汽车技术安全，揭示了智能网联汽车生态系统面临的严峻威胁。安全研究人员通过成功利用76个零日漏洞，共获得了1,047,000美元的奖金，凸显了汽车行业在数字化、智能化转型过程中亟待加强的安全防护。

主要内容：

本次大赛由TrendMicro的Zero Day Initiative（ZDI）组织，于1月21日至23日举行。参赛者针对完全打补丁的车载信息娱乐系统（IVI）、电动汽车充电桩以及汽车操作系统（如Automotive Grade Linux）等目标发起攻击，成功演示了多个高危漏洞的利用链。

攻击成功的关键在于发现了目标系统中未被公开和修补的零日漏洞。例如，冠军团队Fuzzware.io通过组合多个漏洞，先后攻破了Alpitronic HYC50充电站、Autel充电器以及Kenwood导航接收器。其攻击手法涉及对充电控制器和多媒体接收器的深入逆向分析，利用内存破坏类漏洞（如越界写入）或逻辑缺陷获取系统控制权。

另一团队Synacktiv则演示了针对特斯拉信息娱乐系统的攻击，他们通过基于USB的攻击媒介，串联一个越界写入漏洞和一个信息泄露漏洞，成功实现了系统入侵。这揭示了即使是最先进的汽车制造商，其供应链和软硬件集成环节也可能存在可被利用的安全短板。

此次事件的影响深远，所有被报告的漏洞已提交给相关厂商，后者有90天时间开发并发布安全补丁。这直接推动了汽车行业关键组件安全性的提升，但同时也警示，随着汽车网联化程度加深，攻击面不断扩大，类似的漏洞挖掘竞赛将成为暴露和修复潜在风险的重要前哨。