În Tokyo, competiția Pwn2Own Automotive 2026 a debutat cu o demonstrație revelatoare despre ritmul rapid al creșterii suprafeței de atac asupra vehiculelor „bazate pe software”: sistemul de infotainment Tesla a fost compromis, iar în prima zi au fost identificate 37 de vulnerabilități de tip zero-day.
Dincolo de cifră impresionantă, mesajul principal este că nu discutăm despre dispozitive „neîngrijite” sau folosite cu software depășit, ci despre ținte recente, complet actualizate, pentru a testa limitele protecțiilor moderne.
Ce s-a întâmplat în prima zi la Pwn2Own Automotive 2026
Echipa Synacktiv a obținut acces de tip root pe sistemul de infotainment Tesla într-un atac prin USB, combinând o breșă de tip scurgere de informații cu o scriere în afara limitelor (out-of-bounds write). Pentru această succesiune de vulnerabilități, echipa a primit o recompensă de 35.000 de dolari.
De asemenea, Synacktiv a demonstrat și execuție de cod la nivel root pe receiver-ul media Sony XAV-9500ES, utilizând o succesiune de trei vulnerabilități, obținând alte 20.000 de dolari. Alte echipe au completat rapid portofoliul țintelor: Fuzzware.io a acumulat 118.000 de dolari după compromiterea unei stații Alpitronic HYC50, a unui încărcător Autel și a unui receptor de navigație Kenwood DNR1007XR, în timp ce PetoWorks a primit 50.000 de dolari pentru root pe controllerul Phoenix Contact CHARX SEC-3150, tot printr-o succesiune de trei zero-day-uri.
De ce importanță au cele 37 de zero-day-uri pentru autovehicule și infrastructura de încărcare
Atunci când se menționează „infotainment”, tendința este să se asocieze cu aspecte de confort (muzică, navigație, aplicații). În realitate, sistemul de infotainment reprezintă unele dintre cele mai expuse porți de acces către ecosistemul digital al vehiculului: dispune de multiple interfețe (USB, Bluetooth, Wi-Fi), rulează stack-uri complexe și interacționează cu servicii interne. Din acest motiv, o vulnerabilitate exploatabilă în lanț poate transforma o eroare minoră într-un control extins asupra sistemului.
Discuția devine și mai sensibilă în cazul încărcătoarelor electrice. Competitia vizează explicit stațiile și controllerele de încărcare, componente esențiale pentru infrastructura care conectează vehiculul la rețea, conturi online, aplicații și sisteme de administrare a flotelor. Pwn2Own Automotive 2026 are loc în cadrul Automotive World, iar organizatorii și participanții tratează aceste zone ca fiind principale, nu periferice.
În plus, tendințele din ultimii ani indică faptul că nu este un incident izolat. În 2025, Pwn2Own Automotive a înregistrat 49 de zero-day-uri și premii totale de 886.250 de dolari, în timp ce în 2024 s-au raportat tot 49 de zero-day-uri și un total de 1.323.750 de dolari, cu Tesla compromis de două ori în acea ediție. Pe scurt, cercetarea ofensivă avansează constant, iar complexitatea software-ului din domeniul auto oferă un impuls suplimentar.
Ce urmează după demonstrații și măsuri pentru utilizatori
În ziua a doua, atenția se concentrează pe ținte atacate repetat: Grizzl-E Smart 40A urma să fie testat de patru echipe, Autel MaxiCharger de trei ori, iar ChargePoint Home Flex de două ori, cu recompense corespunzătoare pentru fiecare reușită. În același timp, Fuzzware.io analiza și o nouă tentativă asupra controlerului Phoenix Contact CHARX SEC-3150, cu un premiu de 70.000 de dolari.
După competiție, regula principală prevede o fereastră de 90 de zile pentru remediere: producătorii au această perioadă pentru a implementa și distribui patch-uri înainte ca asistența Trend Micro ZDI să facă publice detaliile tehnice ale vulnerabilităților demonstrate. Aceasta diferențiază „spectacolul” de un val real de măsuri pentru siguranță: presiunea publică și termenele clar stabilite grăbesc corectarea defectelor înainte ca acestea să fie exploatate în atacuri reale.
În ceea ce te privește, recomandările simple de urmat includ actualizarea imediată a software-ului vehiculului atunci când primești notificări de actualizare OTA (over-the-air), precum și prioritizarea patch-urilor pentru aplicațiile asociate (cont, cheie digitală, sistem de încărcare). Dacă utilizezi frecvent portul USB, evită mediile necunoscute și nu conecta stick-uri sau dispozitive provenite din surse nesigure. În privința sistemului de încărcare, schimbi parolele implicite, activează autentificarea în doi pași oriunde este disponibil și verifică periodic dacă producătorul a lansat actualizări de firmware pentru stația ta (acolo unde posibil). În general, tratează orice zero-day anuțat public ca pe un motiv de verificare imediată a versiunii software, nu ca pe o știre pentru informație generală.