37 sıfır gün boyunca 516.500 ABD Doları sağlayan Pwn2Own Automotive 2026’nın Birinci Günü, etkinlik artık 66 benzersiz güvenlik açığında 955.750 ABD Doları biriktirerek otomotiv sektörünün önemli saldırı yüzeyini ortaya koydu.
Yarışmada, araç içi bilgi-eğlence (IVI) sistemleri, EV şarj istasyonları ve yerleşik Linux ortamları dahil olmak üzere birden fazla araç alt sistemini hedef alan istismarlar sergilendi.
Araştırmacılar, Alpine, Kenwood, Phoenix Contact, Alpitronic ve Autel tarafından üretilen cihazlarda komut ekleme kusurlarını, arabellek taşmalarını, kimlik doğrulama atlamalarını ve ayrıcalık yükseltme güvenlik açıklarını başarıyla gösterdi.
Fuzzware.io, karmaşık güvenlik açığı zincirleri aracılığıyla teknik gelişmişlik sergileyerek Master of Pwn sıralamasında lider bir lider olarak ortaya çıktı.
Puanları en üst düzeye çıkarmak için komut ekleme güvenlik açıklarını protokol manipülasyon eklentileriyle birleştirmek.
Ekip, Phoenix Contact CHARX SEC-3150 ve ChargePoint Home Flex (CPH50-K) sistemlerindeki birden fazla hatadan yararlandı.
Birden fazla güvenlik açığını zincirlemeye yönelik stratejileri, modern otomotiv güvenlik araştırmalarında gerekli olan gelişmiş yararlanma tekniklerini yansıtıyor.
İkinci Günün göze çarpan başarıları arasında, Teknik Borç Tahsildarlarından Rob Blakely üç hatayı başarıyla zincirledi: sınırların dışında okuma, bellek tükenmesi ve Automotive Grade Linux’a karşı yığın taşması ve 40.000 ABD Doları kazanç.
Bu istismar zinciri, sektörde kullanılan açık kaynaklı otomotiv platformlarını savunmanın kritikliğini ortaya koydu.
EV Şarj Altyapısı Açıkları Ortaya Çıktı
Şarj altyapısı, birden fazla ekibin EV şarj istasyonlarındaki güvenliği başarıyla aşmasıyla önemli bir güvenlik açığı vektörü olarak ortaya çıktı.
Synacktiv, Autel MaxiCharger AC Elite Home 40A’daki yığın tabanlı arabellek taşmasından yararlandı. Aynı zamanda Çağırma Ekibi, ChargePoint Home Flex sistemlerinde komut ekleme kusurlarını gösterdi.
Bu saldırılar, hızla genişleyen EV şarj ağlarının güvenlik açısından doğurabileceği sonuçların altını çiziyor.
Etkinlik aynı zamanda birden fazla ekibin bağımsız olarak aynı güvenlik açıklarını keşfettiği çarpışma istismarlarını da belgeledi.
İkinci Gün boyunca on beş çarpışma bildirimi gerçekleşti; bu, genel ödül ödemelerini azalttı ancak belirli güvenlik kusurlarının birden fazla araştırma yaklaşımıyla keşfedilebileceğini doğruladı.
Fuzzware.io’nun önde gelen lideri, teknik uygulama ve güvenlik açığı keşif hızının belirleyici faktörler haline gelmesiyle son günün Master of Pwn unvanını belirleyebileceğini öne sürüyor.
Zerodayinitiative’e göre, iki gün boyunca gerçekleşen 66 sıfır gün kümülatif güvenlik açığı, bilgi-eğlence ve şarj protokollerinden yerleşik işletim sistemlerine kadar otomotiv saldırı yüzeylerinin genişliğini ortaya koyuyor.
Üçüncü Gün, yarışma sona erdiğinde muhtemelen ek keşifler getirecek.
Pwn2Own’da açıklanan güvenlik açıkları, satıcıların güvenlik yol haritalarına bilgi veriyor ve bağlantılı araç platformlarında sektör çapındaki güçlendirme çabalarına katkıda bulunuyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
