Ο διαγωνισμός hacking Pwn2Own Automotive 2026, που διοργανώθηκε από την Zero Day Initiative (ZDI) της Trend Micro, ολοκληρώθηκε.
Οι συμμετέχοντες στην εκδήλωση που πραγματοποιήθηκε στο Τόκιο εκμεταλλεύτηκαν συνολικά 76 ευπάθειες Zero-Day για να χακάρουν προϊόντα του κλάδου της αυτοκινητοβιομηχανίας, όπως συστήματα infotainment και φορτιστές ηλεκτρικών αυτοκινήτων (EV).
Τα χρηματικά έπαθλα που μοιράστηκαν ξεπέρασαν το ένα εκατομμύριο δολάρια, φτάνοντας συγκεκριμένα τα 1.047.000 δολάρια.
Ήδη από την πρώτη μέρα σημειώθηκαν πολυάριθμες επιτυχημένες επιθέσεις σε διάφορα συστήματα ψυχαγωγίας και φόρτισης.
Μία από τις ομάδες κατάφερε να “σπάσει” επιτυχώς και το σύστημα infotainment ενός Tesla.
Με έπαθλα ύψους 516.500 δολαρίων για την εκμετάλλευση 37 ευπαθειών Zero-Day, σχεδόν τα μισά κέρδη δόθηκαν κατά την πρώτη ημέρα της εκδήλωσης.
Τη δεύτερη μέρα, οι συμμετέχοντες κέρδισαν επιπλέον 439.250 δολάρια, προσθέτοντας στη λίστα άλλες 29 ευπάθειες Zero-Day, σύμφωνα με ανάρτηση στο blog της ZDI.
Η τελευταία από τις τρεις ημέρες της εκδήλωσης ήταν σαφώς πιο περιορισμένη, αποφέροντας στους συμμετέχοντες 91.250 δολάρια για τον εντοπισμό δέκα ακόμη κενών ασφαλείας.
Οι κορυφαίες ομάδες διατήρησαν το προβάδισμα
Οι δύο επικεφαλής ομάδες υπερασπίστηκαν με επιτυχία τις θέσεις που κατέκτησαν από την πρώτη μέρα:
- 1η Θέση: Στην κορυφή παραμένει η ομάδα Fuzzware.io με 28 βαθμούς και κέρδη ύψους 215.000 δολαρίων. Η ομάδα σχεδόν διπλασίασε τα κέρδη της από την πρώτη μέρα, πραγματοποιώντας μεταξύ άλλων επιτυχημένες επιθέσεις σε έναν ελεγκτή φόρτισης AC της Phoenix Contact, σε έναν φορτιστή Chargepoint Home Flex (CPH50-K) και σε έναν έξυπνο φορτιστή Grizzl-E.
- 2η Θέση: Η ομάδα DDOS κατέλαβε τη δεύτερη θέση στο βάθρο με 17,25 βαθμούς και 100.750 δολάρια. Μετά την πρώτη μέρα, η ομάδα επιτέθηκε επιτυχώς σε δύο συστήματα infotainment των Kenwood (DNR1007XR) και Alpine (iLX-F511), καθώς και στον ελεγκτή φόρτισης Phoenix Contact CHARX SEC-3150.
Οι λεπτομέρειες θα ανακοινωθούν αργότερα
Στις θέσεις 3 έως 5 ακολούθησαν οι ομάδες Synacktiv (85.000 δολάρια), Petoworks (62.500 δολάρια) και Summoning Team (40.000 δολάρια).
Όπως συνηθίζεται στις εκδηλώσεις Pwn2Own, οι τεχνικές λεπτομέρειες για τις συνολικά 76 ευπάθειες Zero-Day που εντοπίστηκαν κρατούνται προς το παρόν απόρρητες, ώστε να δοθεί χρόνος στους κατασκευαστές να τις διορθώσουν (patch).
Το Pwn2Own Automotive στο Τόκιο ήταν η τρίτη κατά σειρά εκδήλωση Pwn2Own με ειδική εστίαση στον τομέα της αυτοκινητοβιομηχανίας. Η πρώτη διοργάνωση πραγματοποιήθηκε τον Ιανουάριο του 2024, μοιράζοντας τότε 1.323.750 δολάρια.
Στο δεύτερο Pwn2Own Automotive στις αρχές του 2025, οι συμμετέχοντες κέρδισαν συνολικά 886.250 δολάρια. Το Pwn2Own Automotive 2026 κατατάσσεται, συνεπώς, στη μέση όσον αφορά το ύψος των χρηματικών επάθλων.
