【安全资讯】Pwn2Own Automotive 2026赛事揭示汽车系统76个零日漏洞

概要：

在东京举行的第三届Pwn2Own Automotive 2026赛事中，网络安全专家们成功揭示了汽车软件系统中存在的76个独特的零日漏洞，涉及目标从特斯拉信息娱乐系统到电动汽车充电桩。这一事件突显了现代汽车日益数字化和互联化所带来的严峻安全挑战，以及通过白帽黑客竞赛主动发现并修复漏洞的重要性。

主要内容：

本次竞赛共包含73项参赛项目，由Trend Micro的Zero Day Initiative组织，并向成功发现漏洞的研究人员支付了超过100万美元的奖金。竞赛采用限时攻击模式，根据漏洞的独特性、影响力和复杂性来评定奖金和积分。

获得最高单次漏洞利用奖金（6万美元）的是来自Fuzzware.io的三名安全研究员。他们在第一天就通过利用Alpitronic HYC50电动汽车充电桩中的一个越界写入漏洞成功得分。该团队最终凭借七次成功演示，以总计28分和215,500美元的总奖金赢得了“破解大师”称号。

除了Fuzzware对HYC50的成功攻击，另一团队也利用了该充电桩中的一个“检查时间到使用时间”漏洞，成功在充电桩屏幕上安装了可玩的《毁灭战士》游戏版本，赢得了2万美元。特斯拉信息娱乐系统也被Synacktiv团队通过串联信息泄露和越界写入漏洞完全接管。

这些漏洞的发现过程揭示了汽车系统中存在的多种攻击面，包括信息娱乐系统、充电基础设施和底层操作系统。核心的技术原因在于软件复杂性的增加和不同组件间安全边界的模糊。希望所有受影响的供应商能迅速采取行动，修复这些在赛事中发现的众多漏洞。