Hakerzy zarobili ponad milion dolarów za odkrycie 76 dziur w systemie pojazdów EV i ładowarek elektrycznych

Konkurs Pwn2Own Automotive 2026, który odbył się w Tokio w dniach 21–23 stycznia 2026 roku, zakończył się wykryciem 76 unikalnych luk zero-day w systemach infotainment pojazdów i infrastrukturze ładowania elektrycznego. Badacze bezpieczeństwa zarobili łącznie ponad 1 milion dolarów, demonstrując poważne zagrożenia w oprogramowaniu marek takich jak Tesla, ChargePoint, Alpitronic czy Phoenix Contact. Odkrycia pokazują, że zarówno producenci pojazdów, jak i dostawcy infrastruktury ładowania mają przed sobą wyzwanie związane z zabezpieczeniem coraz bardziej połączonych systemów automotive.

Wydarzenie odbyło się w ramach konferencji Automotive World w Tokio. Pierwsze dwa dni konkursu okazały się najbardziej owocne – pierwszego dnia wykryto 37 luk zero-day, za które badacze zgarnęli 516 500 dolarów. Zespół Synacktiv przejął kontrolę nad systemem infotainment Tesli, łącząc lukę typu information leak z podatnością out-of-bounds write, co zapewniło im nagrody w wysokości 35 000 dolarów i pełny dostęp root przez port USB. Atakowano także systemy Sony XAV-9500ES, Alpine iLX-F511 oraz platformę Automotive Grade Linux, która padła ofiarą łańcucha trzech podatności.

Infrastruktura ładowania EV okazała się szczególnie wrażliwa – zespoły skutecznie włamały się do ładowarek firm Alpitronic, Autel, ChargePoint, Grizzl-E, Phoenix Contact i EMPORIA. Najwyższą nagrodę pierwszego dnia – 60 000 dolarów – zdobył zespół Fuzzware.io za wykorzystanie pojedynczej luki out-of-bounds write w ładowarce Alpitronic HYC50. Inny zespół, Juurin Oy, wykorzystał podatność TOCTOU (time-of-check-time-of-use) w tym samym modelu, instalując na ekranie ładowarki grę Doom, co przyniosło mu 20 000 dolarów. Phoenix Contact CHARX SEC-3150 padł ofiarą licznych ataków, w tym obejścia uwierzytelnienia i eskalacji uprawnień.

Producenci mają teraz 90 dni na opracowanie poprawek, zanim Zero Day Initiative (ZDI) Trend Micro upubliczni szczegóły odkrytych luk. Zespół Fuzzware.io zdobył tytuł Master of Pwn z 28 punktami i łączną wygraną 215 500 dolarów za siedem udanych demonstracji. Konkurencja potwierdza rosnącą powierzchnię ataku w ekosystemie automotive – od systemów rozrywki po krytyczną infrastrukturę ładowania, która bezpośrednio komunikuje się z pojazdami. Wielokrotne kolizje (odkrycie tych samych luk przez różne zespoły) sugerują, że niektóre klasy podatności są szczególnie powszechne w oprogramowaniu automotive.