Pwn2Own Automotive 2026’nın İkinci Günü, güvenlik araştırmacılarının otomotiv bilgi-eğlence sistemlerini, EV şarj cihazlarını ve ağ geçitlerini hedef almasıyla yüksek yoğunlukla başladı.
Birinci Günün ivmesini kazanan ekipler, 37 benzersiz sıfır gün güvenlik açığını göstererek 516.500 doların üzerinde ödül kazandı.
Sıfır Gün Girişimi (ZDI) etkinliği, komut enjeksiyonlarından arabellek taşmalarına kadar araç teknolojisindeki kritik kusurları vurgulayarak satıcıları gerçek dünyadaki istismarlar ortaya çıkmadan önce yama yapmaya teşvik ediyor.
Göze çarpan hack’lerde, Şarj Konektörü Protokolü/Sinyal Manipülasyonu gibi zincirleme teknikleri ve eklentiler sergilendi.
Master of Pwn puanları erken sayıldı ve Fuzzware.io çoklu hata zincirlerinde lider oldu. ZDI’nın sosyal kanallarındaki güncellemeleri #Pwn2Own ve #P2OAuto etiketleriyle takip edin.
Önemli Gün İki İstismarları ve Ödemeleri
MAMMOTH Takımı (Inhyung Lee, Seokhun Lee, Chulhan Park, Wooseok Kim, Yeonseok Jang), Alpine iLX-F511 ana ünitesine bir komut enjeksiyonu ile açıldı.
İstismarları yetkisiz erişim sağlayarak 10.000 dolar ve 2 Master of Pwn puanı kazandı.
Daha sonra Nguyen Thanh Dat (Viettel Siber Güvenlik), Kazuki Furukawa (GDO Siber Güvenlik), Slow Horses (Qious Secure) ve Sina Kheirkhah (Çağırma Ekibi) tarafından aynı hedef üzerinde yapılan çarpışmalar, Alpine’ın donanım yazılımındaki tekrarlanan zayıf noktaların altını çizerek her birine 2.500 $ ve takım başına 1 puan kazandırdı.
FuzzingLabs’tan Julien Cohen-Scali, Phoenix Contact CHARX SEC-3150 EV şarj cihazında ayrıcalık yükseltme ile kimlik doğrulama bypassını zincirledi. Bu ikili, 20.000 $ değerinde ve 4 puan değerinde uzaktan kod yürütülmesine izin verdi.
Fuzzware.io (Tobias Scharnowski, Felix Buchmann, Kristian Covic), Automotive Grade Linux’ta üç hata zincirinde sınır dışı okuma, bellek tükenmesi ve yığın taşması ile yükselişe geçerek 40.000 $ ve 4 puan topladı.
Ayrıca Grizzl-E Smart 40A’da komut enjeksiyonu (30.000 $, 5 puan) ve çoklu çarpışmalar yoluyla ChargePoint Home Flex’e (CPH50-K) çarptılar.
Arabellek taşmaları popüler oldu. Neodyme AG, ayrıcalıklı uygulama için Sony XAV-9500ES’te CWE-120’den yararlandı (10.000 ABD doları, 2 puan).
Hank Chen (InnoEdge Labs), Alpitronic HYC50 – Laboratuvar Modunda (40.000 ABD Doları, 4 puan), Xilokar’ın tek hata kök erişimiyle (20.000 ABD Doları, 4 puan) eşleşen tehlikeli bir yöntemi açığa çıkardı.
Çarpışmalar nüans ekledi. BoredPentester, Grizzl-E Smart 40A’da iki hatayı zincirledi (20.000 $, 3 puan), ardından komut enjekte etti Kenwood DNR1007XR (5.000 $, 2 puan).
DDOS Takımı (Bongeun Koo, Evangelos Daravigkas), Kenwood’a n günlük komut enjeksiyonu (4.000 $, 1 puan) ve Phoenix CHARX’ta çarpışmayla (19.250 $, 4,75 puan) altı hata zincirini vurdu.
BoB::Takedown, Grizzl-E’de çarpışma ve sıfır günü birleştirirken (15.000 $, 3 puan), PHP Hooligans/Midnight Blue ise iki hatalı Autel MaxiCharger zincirini tamamen çarpıştı (20.000 $, 3 puan).
Synacktiv, Autel MaxiCharger’da sinyal manipülasyonuyla bir arabellek taşması oluşturdu (30.000 $, 5 puan). Summoning Team’den Sina Kheirkhah ikiye katlandı: ChargePoint’te iki hata (30.000 $, 5 puan) ve Alpine’da çift güvenlik açığı aracılığıyla root (5.000 $, 2 puan).
ZIEN, Inc. (Hyeonjun Lee ve diğerleri), çarpışmaya rağmen ChargePoint’te sembolik bağlantı takibi ve komut enjeksiyonunu zincirledi (16.750 $, 3,5 puan).
Evan Grant, Grizzl-E’de çarpışma ödemeleri elde etti (15.000 $, 3 puan) ve PetoWorks/78ResearchLab, Kenwood çarpışmalarını yakaladı (her biri 2.500 $, 1 puan).
Başarısızlıklar arasında Autocrypt’in Grizzl-E ve Autel hedeflerinde ve PetoWorks’ün Alpine hedeflerinde zaman aşımları vardı.
Otomotiv Güvenliğine Yönelik Etkiler
Bu demolar bağlantılı araç ekosistemlerindeki kalıcı sorunları ortaya çıkarıyor. Komut enjeksiyonları bilgi-eğlence sistemine (Alpine, Kenwood, Sony) hakim oldu ve uzaktan kumandayı mümkün kıldı.
ChargePoint, Grizzl-E ve Phoenix gibi EV şarj cihazları, protokol manipülasyonlarına ve taşmalara maruz kalarak fiziksel tahrifat veya şebeke saldırıları riskiyle karşı karşıya kaldı. Zincirleme saldırılar güçlendirilmiş etkiyi kullanarak genellikle kök veya ayrıcalıklı yürütmeye ulaşır.
ZDI, açıklamaları koordine ederek yamaların Alpine, Sony ve ChargePoint gibi satıcılara ulaşmasını sağlar.
Toplam ödüller, 37 sıfır gün için 516.500 $’lık artan bahislerin otomotiv korsanlığının kazançlı olduğuna işaret ettiğinin altını çiziyor. Master of Pwn yarışı devam ederken, tedarik zinciri riskleri ve tüyler ürpertici bulgular hakkında daha fazla açıklama bekliyoruz.
Olay çıkarımları: Giriş doğrulama, kimlik doğrulama sağlamlaştırma ve sınırlı bellek işlemlerine öncelik verin.
Fuzzware.io ve Summoning Team gibi araştırmacılar sistematik zincirleme yoluyla hakimiyet kuruyor. Final sıralamaları ve tüm tavsiyeler için bizi takip etmeye devam edin.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.