Pwn2Own Automotive 2026’daki güvenlik araştırmacıları, elektrikli araç şarj cihazları ve araç içi bilgi-eğlence sistemlerinde 76 benzersiz sıfır gün güvenlik açığını ortaya çıkardı.
Tokyo’daki üç günlük etkinlikte toplamda 1.047.000 ABD doları ödül verildi ve Fuzzware.io Master of Pwn unvanını aldı.
Birinci Gün Etkinlikleri
Birinci Gün’de Alpine iLX-F511, Kenwood DNR1007XR ve çeşitli EV şarj cihazları gibi sistemleri hedefleyen 30 giriş yer aldı ve 37 sıfır gün için 516.500 ABD Doları gelir elde edildi.
Neodyme AG, Alpine iLX-F511’de yığın tabanlı arabellek taşması için 20.000 ABD doları kazanırken, Fuzzware.io, sinyal manipülasyonlu bir Autel şarj cihazında CWE-306 ve CWE-347’yi 50.000 ABD doları karşılığında zincirledi.
SKShieldus’un 299 ekibi, Grizzl-E Smart 40A’da sabit kodlanmış kimlik bilgilerinden (CWE-798) ve CWE-494’ten 40.000 $ karşılığında yararlandı; DDOS ekibi, başka bir 40.000 $ karşılığında ChargePoint Home Flex’i komut enjeksiyonuyla vurdu; PetoWorks, Phoenix Contact CHARX SEC-3150’de DoS, yarış durumu ve enjeksiyonu 50.000 $ karşılığında zincirledi.
Fuzzware.io, Alpitronic HYC50’ye 60.000 $’lık sınır dışı yazma ve Synacktiv’in sızıntı ve sınır dışı yazma yoluyla 35.000 $’lık Tesla USB saldırısıyla daha da üstünlük sağladı.
İkinci Gün Etkinlikleri
İkinci Gündeki yoğun aksiyon, 439.250 ABD Doları ve 29 sıfır gün ekleyerek toplamları 66 kusura ve 955.750 ABD Dolarına yükseltti. InnoEdge Labs’tan Hank Chen, Alpitronic HYC50 Laboratuvar Modunda açıkta kalan tehlikeli bir yöntemle 40.000 $ kazandı; Rob Blakely, Otomotiv Sınıfı Linux’ta sınır dışı okuma, bellek tükenmesi ve yığın taşmasını 40.000 $ karşılığında zincirledi.
Fuzzware.io, Phoenix CHARX SEC-3150’de 50.000 $ ile güçlü bir şekilde yoluna devam etti (üç hata artı eklentiler, 7 puan); Synacktiv, Autel MaxiCharger eklentisini yığın arabellek taşması ile 30.000 $ karşılığında vurdu; Fuzzware.io ve Summoning Team, ChargePoint Home Flex eklentilerinden komut ekleme ve iki hata yoluyla sırasıyla 30.000 $ kazandı.
Üçüncü Gün Etkinlikleri
Fuzzware.io’nun Master of Pwn’ı 28 puan ve toplamda 215.500 ABD doları ile güvence altına almasıyla, son gündeki başarılar ve çarpışmalar etkinliği sonlandırdı. PetoWorks, Grizzl-E Smart 40A’daki arabellek taşmasından 10.000 $ karşılığında yararlandı; Viettel Cyber Security, Sony XAV-9500ES’te yığın tabanlı arabellek taşmasını 10.000 ABD doları karşılığında kullandı.
Juurin Oy, oynanabilir Doom’u kurarak Alpitronic HYC50’de TOCTOU’yu sergiledi, 20.000 $ ve 4 puan kazandı; Alpine, Kenwood ve şarj cihazlarında birden fazla çarpışma, Autel’de Ryo Kato’ya 16.750 $ gibi kısmi ödüller kazandırdı. Elias Ikkelä-Koski ve Aapo Oksman, Kenwood’u 5.000 $ karşılığında bağlantı takibiyle vurdu.
Kritik Yüksek Ödül Güvenlik Açıkları
Yüksek ödüllü kazançlar (30.000 $’dan fazla), şarj cihazlarındaki ve bilgi-eğlence sistemindeki ciddi kusurları ortaya çıkardı ve genellikle kök erişimi veya sinyal manipülasyonu için birden fazla sorunu zincirledi.
| Gün | Takım | Hedef | Ödül (USD) | Temel Güvenlik Açıkları | Puanlar |
|---|---|---|---|---|---|
| 1 | Fuzzware.io | Alpitronic HYC50 Alanı | 60.000 | Sınır dışı yazma | 6 |
| 1 | PetoWorks | Phoenix CHARX SEC-3150 | 50.000 | DoS, yarış durumu, komut enjeksiyonu | 5 |
| 1 | Fuzzware.io | Sunak Yükü | 50.000 | CWE-306, CWE-347 (kod yürütme + sinyal işleme) | 5 |
| 1 | Sinaktif | Tesla Bilgi ve Eğlence USB’si | 35.000 | Bilgi sızıntısı, sınırların dışında yazma | 3.5 |
| 2 | Fuzzware.io | Phoenix CHARX SEC-3150 | 50.000 | Üç hata + iki eklenti | 7 |
| 2 | InnoEdge Laboratuvarları | Alpitronic HYC50 Laboratuvarı | 40.000 | Açıkta kalan tehlikeli yöntem | 4 |
| 2 | Teknik Borç Tahsildarları | Otomotiv Sınıfı Linux | 40.000 | OOB okuması, mem tükenmesi, yığın taşması | 4 |
| 2 | Sinaktif | Autel MaxiCharger Eklentisi | 30.000 | Yığın arabellek taşması | 5 |
| 2 | Fuzzware.io | ChargePoint Home Flex Eklentisi | 30.000 | Komut enjeksiyonu | 5 |
| 2 | Çağırma Ekibi | ChargePoint Home Flex Eklentisi | 30.000 | İki hata | 5 |
Bu sıfır günler, ağa bağlı EV şarj cihazları ve IVI’daki riskleri açığa çıkarıyor ve potansiyel olarak uzaktan kod yürütülmesine veya araç manipülasyonuna olanak tanıyor. ZDI, elektrikli araçların benimsenmesinin arttığı bir dönemde otomotiv siber güvenliğinin aciliyetinin altını çizerek yama için satıcılara yapılan açıklamaları koordine ediyor. Fuzzware.io’nun galibiyetleri, karmaşık gömülü sistemlere karşı şaşırtıcı bir hüner sergiliyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
