【安全资讯】黑客在Pwn2Own汽车2025大赛首日利用16个零日漏洞

概要：

在2025年Pwn2Own汽车大赛的首日，黑客们成功利用了16个独特的零日漏洞，获得了总计382,750美元的现金奖励。这一事件凸显了汽车技术领域的安全隐患，尤其是在电动汽车充电器和车载信息娱乐系统方面的脆弱性。

主要内容：

此次大赛由Fuzzware.io团队主导，他们通过利用堆栈溢出和源验证错误漏洞，成功攻破了Autel MaxiCharger和Phoenix Contact CHARX SEC-3150电动汽车充电器，获得了50,000美元和10个Pwn大师积分。Summoning Team的Sina Kheirkhah则通过利用硬编码的加密密钥漏洞和三个零日漏洞（其中一个为已知漏洞）成功攻破了Ubiquiti和Phoenix Contact的充电器，获得了91,750美元和9.25个积分。

此外，Synacktiv团队通过信号操控成功演示了OCPP协议的漏洞，攻破了ChargePoint Home Flex（型号CPH50），获得了57,500美元的奖励。PHP Hooligans团队也成功利用堆区溢出漏洞攻破了完全修补的Autel充电器，获得了50,000美元，而Viettel网络安全团队则通过操作系统命令注入零日漏洞在Kenwood车载信息娱乐系统上获得了代码执行，收获20,000美元。

在Pwn2Own大赛期间，安全研究人员可以针对电动汽车充电器、车载信息娱乐系统及汽车操作系统进行攻击。此次大赛的举办地东京，正值汽车世界大会期间，吸引了众多关注汽车安全的专家和研究者。