В Токио стартовали соревнования Pwn2Own Automotive 2026. В первый день хакеры взломали мультимедийную систему Tesla и несколько зарядных станций для электромобилей. Участники обнаружили 37 уязвимостей нулевого дня и заработали $516 500.

Команда Synacktiv получила $35 000 за атаку на медиасистему Tesla через USB. Они скомбинировали утечку данных и ошибку записи за пределы диапазона для получения root-прав. Та же команда использовала цепочку из трех уязвимостей для взлома медиаресивера Sony XAV-9500ES. За это получили еще $20 000.

Команда Fuzzware.io заработала больше всех — $118 000. Они взломали зарядную станцию Alpitronic HYC50, зарядное устройство Autel и навигационный ресивер Kenwood DNR1007XR.

PetoWorks получила $50 000 за комбинацию трех уязвимостей нулевого дня. Они позволили получить root-привилегии на контроллере зарядки Phoenix Contact CHARX SEC-3150.

Команда DDOS заработала $72 500 за взлом сразу трех зарядных устройств — ChargePoint Home Flex, Autel MaxiCharger и Grizzl-E Smart 40A.

Во второй день соревнований запланированы новые атаки. Четыре команды займутся станцией Grizzl-E Smart 40A. Три команды попробуют взломать Autel MaxiCharger. Две группы попытаются получить root-права на ChargePoint Home Flex с наградой $50 000. Fuzzware.io также попробует взломать зарядное устройство Phoenix Contact ради приза $70 000.

Производители имеют 90 дней после соревнований на разработку и выпуск патчей. После этого платформа Trend Micro Zero Day Initiative обнародует детали найденных багов. ZDI — крупнейшая в мире независимая программа вознаграждения за обнаружение уязвимостей.

В фокусе хакеров системы IVI, зарядные устройства для электромобилей и автомобильные операционные системы вроде Automotive Grade Linux.

Конкурс Pwn2Own Automotive 2026 проходит в Токио с 21 по 23 января в рамках автомобильной конференции Automotive World.

В 2025 году участники Pwn2Own Automotive заработали $886 250 за 49 уязвимостей. На первом конкурсе в 2024 году сумма выплат превысила $1,3 миллиона.

Соревнования показывают реальные проблемы безопасности автомобильных технологий. 37 уязвимостей за один день — серьезный сигнал для индустрии. Особенно тревожно, что под ударом оказались зарядные станции. Их взлом может привести не только к краже данных, но и к физическим повреждениям оборудования или автомобилей.